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A Cryptography Primer Secrets and Promises 


密码 学 在 尤 里 乌 斯 * 凯撒 时 代 就 被 用 于 军事 和 外 交 领 域 。 在 互联 网 时 代 ， 密 码 学 最 广泛 的 应 用 
领域 也 许 是 商业 一 一 从 保护 电子 传输 的 安全 性 到 保证 通信 和 免 受 工业 间谍 的 威胁 。 





本 书 是 一 本 针对 本 科 生 的 导论 教材 ， 非 常 容 易 阅读 和 理解 ， 解 释 了 用 来 实现 通信 隐私 性 的 密码 
协议 ， 以 及 如 何 使 用 保证 消息 、 文 档 或 者 程序 的 正确 性 、 完 整 性 及 来 源 可 靠 性 的 数字 签名 。 作 者 提 
供 了 一 个 关于 现代 密码 学 基本 原理 和 数学 知识 的 导 引 ， 让 读者 看 到 密码 技术 的 本 质 和 被 认为 安全 的 
原因 ， 而 不 是 提供 关于 如 何 配置 Web 浏 览 器 及 电子 邮件 程序 的 基本 知识 。 
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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 
日 然 科学 的 各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技 
术 发 展 的 六 十 多 年 间 名 家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 
教育 界 越 来 越 凤 密 地 结合 ， 计 算 机 学 科 中 的 许多 泰山 北斗 同时 喘 处 科研 和 教学 的 
最 前 线 ， 由 此 而 产生 的 经 典 科 学 著作 ， 不 仅 壁 划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 
源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信 息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 
才 的 需求 日 益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 
教材 的 建设 在 教育 战略 上 显得 举足轻重 。 在 我 国信 息 技 术 发 展 时 间 较 短 的 现状 
下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 发 展 的 几 十 年 间 积 汪 和 发 展 的 经 典 教材 仍 有 
许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事 
业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 大 学 的 必 
由 之 路 。 

机 械 工业 出 版 社 华 草 公司 较 早 意识 到 “出 版 要 为 教育 服务 "。 目 1998 年 开 
， 我 们 就 将 工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 
力 ， 我 们 与 Pearson,， McGraw-Hill,，Elsevier, MIT, John Wiley &. Sons，Cen- 
gage 等 世界 著名 出 版 公司 建立 了 展 好 的 合作 关系 ,从 他 们 现 有 的 数 百 种 教材 中 甄 
选 出 Andrew S. Tanenbaum,， Bjarne Stroustrup，Brian W. Kernighan, Dennis 
Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. Ullman, Abra- 
ham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Lar- 
ry L. Peterson 等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 
供 读 者 学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ,也 正体 现 了 这 套 丛 书 的 品位 和 
格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 
不 仅 提 供 了 中 肯 的 选 题 指 导 ， 还 不 秤 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 
作者 也 相当 关注 其 作品 在 中 国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 ， 
“计算 机 科学 丛书 ”已 经 出 版 了 近 两 下 个 品种 ， 这 些 书 籍 在 谈 者 中 树立 了 民 好 的 
口碑 ， 并 被 许多 高 校 采用 为 正式 教材 和 参考 书籍 。 其 影印 版 “经 典 原 版 书库 ” 作 
为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 


素 使 我 们 的 图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 
善 和 教材 改革 的 逐渐 深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 入 一 个 
新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 
重要 帮助 。 华 章 公 司 欢 迎 老师 和 读者 对 我 们 的 工作 提出 建议 或 给 予 指正 ， 我 们 的 
联系 方法 如 下 : 


华章 网 站 : www.hzbook.com 
电子 邮件 : hzjsj@hzbook.com 
联系 电话 : ( 010 ) 88379604 
联系 地 址 ， 北 京 市 西城 区 百 万 庄 南 街 1 号 华章 教育 

邮政 编码 : 100037 华章 科技 图 书 出 版 中 心 
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计算 机 信息 网 络 已 经 成 为 人 们 社会 生活 的 基础 设施 ， 人 们 对 网 络 的 依赖 已 经 
可 以 和 水 、 电 等 基本 生活 必需 品 比肩 ， 大 量 的 生活 信息 、 工 作 信息 和 社会 信息 在 
网 络 中 高 速 传送 、 处 理 和 应 用 ， 多 维度 地 支撑 着 人 们 家 庭 及 社会 生活 的 方 方 面 
面 ， 形 成 了 人 们 生活 的 为 一 个 “空间 ”， 财 产 、 身 份 、 学 历 其 至 整个 社会 关系 都 
变 成 了 信息 网 络 空间 中 的 一 条 条 “记录 ”。 但 是 ， 人 们 对 信息 网 络 的 强烈 依赖 ， 
也 产生 了 另 一 方面 的 问题 。 存 储 于 网 络 空间 中 的 数据 便于 传输 、 处 理 、 共 享 但 可 
控 性 差 。 网 络 空 间 给 人 人 们 带 来 便利 的 同时 也 带 来 了 隐私 信息 泄露 、 商 业 信息 泄密 
以 及 消 朋 被 自 改 、 不 当 使 用 、 和 号 份 被 假冒 等 多 重 风 险 ， 如 果 不 能 对 信息 进行 很 好 
的 保护 ， 将 会 造成 不 可 估量 的 损失 。 

密码 学 是 一 门 古老 的 学 科 ， 其 至 可 追溯 到 古 埃及 的 法 老 时 代 。 当 然 ， 最初 的 
密码 应 用 环境 非常 简单 ， 是 一 种 主要 用 于 保证 通信 安全 的 技术 或 技巧 ， 直 到 20 
世纪 40 年 代 香 农 创立 信息 论 并 以 此 研究 保密 系统 开始 ， 密 码 的 设计 和 分 析 开 始 
变 为 一 种 有 理论 基础 、 有 科学 方法 的 “科学 ”。 而 目前 信息 网 络 应 用 的 普遍 性 和 
其 中 信息 安全 问题 的 广泛 性 ， 使 得 密码 学 不 再 是 军事 、 外 交 、 国 防 领域 的 专 宠 ， 
而 成 为 人 们 社会 生活 中 时 时 处 处 依赖 的 信息 安全 保障 必 备 工具 ， 这 也 是 从 20 世 
纪 70 年 代 以 来 密码 学 迅速 发 展 的 原因 。 密 码 学 已 经 成 为 当今 社会 不 可 或 缺 的 应 
用 学 科 。 

为 了 使 网 络 使 用 者 对 密码 学 有 一 个 初步 了 解 ， 我们 翻译 了 美国 布朗 大 学 Philip 
N. Klein 教授 编著 的 《A Cryptography Primer: Secrets and Promises》 一 书 。 与 
普通 的 密码 学 教程 不 同 ， 这 本 书 不 以 密码 学 的 研究 和 应 用 为 目的 ， 而 注重 密码 知 
识 的 普及 。 阅 读 该 书 几 乎 不 需要 任何 专门 知识 ， 书 中 从 最 初步 的 概念 、 最 易 理 解 
的 例子 、 最 简单 的 应 用 开始 ， 深 入 浅 出 ， 层 层 递 进 ,一 直到 密码 学 思想 的 实质 。 
本 书 不 追求 表达 的 严谨 性 和 方法 的 通用 性 ， 力 求 让 读者 理解 密码 学 最 本 质 的 原 
理 ， 是 一 本 极 具 特 色 的 入 门 书 ， 通 俗 易 懂 而 又 极其 深刻 。 译 者 在 翻译 该 书 的 过 程 
中 次 感 获 益 ,希望 该 书 中 文 版 的 出 版 能 够 给 希望 了 解密 码 学 的 中 文 读者 带 来 
帮助 。 

对 该 书 的 编著 者 Philip N. Klein 表示 敬意 。 


译 者 
2016 年 7 月 27 日 
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作为 一 个 数论 专家 与 和 平 主义 者 ，G，H. Hardy 在 其 自传 《一 个 数学 家 的 致 
菊 》 中 写 道 : 


… 令 高 斯 以 及 少数 数学 家 们 欣慰 的 是 ， 至 少 还 有 一 种 科学 “ 数 
论 ”…… 能 够 远离 人 们 的 日 常 活动 ， 它 应 当 保 持 纯粹 和 优雅 。 


Hardy 的 这 本 书 于 1940 年 出 版 ， 他 当时 正面 临 着 职业 生涯 的 结束 。 如 果 他 
能 够 延 后 30 年 再 做 出 论断 的 话 ， 或 许 他 会 得 出 截然 不 同 的 结论 ， 因 为 数论 成 为 
一 项 与 战争 相关 的 重要 技术 (密码 学 一 一 研究 秘密 编码 的 应 用 学 科 )〉 的 基础 。 

密 公 学 的 应 用 至 省 有数 干 年 的 历史 。 在 印度 圣经 中 ， 密 人 码 学 被 列 为 64 项 女 
人 的 技艺 之 一 。 其 中 一 个 著名 的 初等 密码 系统 要 归功 于 尤 里 乌 斯 。 凯 撒 。 许 多 逸 
闻 趣 事 证 实 了 多 年 以 来 密码 学 和 密码 分 析 学 〈 即 编码 破解 ) 在 战争 和 外 交 博 弈 中 
的 重要 作用 。 例 如 ， 英 国人 曾 截获 并 破译 了 由 德国 外 交 部 发 给 墨西哥 政府 〈 经 由 
大 使 ) 的 齐 默 曼 电 报 ， 在 电报 中 德国 许诺 将 得 殉 院 斯 州 、 新 墨西哥 州 以 及 亚 利 桑 
那州 旭 归 给 时 西 哥 作 为 其 帮助 对 抗 美 国 的 回报 ， 这 促进 了 美国 加 入 第 一 次 世界 大 
战 的 进程 。 密 码 分 析 学 同时 也 在 不 那么 重大 的 事件 中 发 挥 着 作用 ， 以 下 文字 摘自 
Casanova (1757) 的 上 自传， 


五 六 周 之 后 ， 她 问 我 是 否 已 经 解密 了 这 些 手 稿 …… 我 告诉 她 是 的 。 
“先生 ， 想 我 冒昧 。 没 有 密 铀 ， 这 怎么 可 能 呢 ??” 
“希望 我 告诉 你 密 钥 吗 ， 夫 人 ?”“ 如 果 这 样 的 话 告 诉 我 吧 。” 
我 告诉 她 密 钥 ， 这 个 密 钥 并 不 属于 任何 语言 ， 然 后 看 到 她 吃惊 的 表 
情 。 她 告诉 我 说 这 是 不 可 能 的 ， 因 为 她 坚信 她 自己 是 唯一 掌握 这 些 密 铀 
的 人 ， 她 仅仅 将 这 些 密 钥 记 在 脑海 中 ， 从 来 没有 写 下 来 。 
我 本 可 以 告诉 她 真相 的 一 一 已 被 我 掌握 的 与 解密 手稿 同样 的 计算 已 
经 让 我 知道 了 密 钥 一 一 但 是 一 个 邪恶 的 想法 闪 过 心头 ， 阻 止 我 告诉 她 这 
一 真相 。 我 保持 神秘 使 她 深 深 地 被 我 俘获 ， 那 天 我 主导 了 她 的 灵魂 ， 建 
意 地 散发 着 我 的 力量 。 
然而 在 信息 时 代 ， 或 许 密 码 学 最 大 的 贡献 还 是 在 商业 领域 。 一 直 以 来 ， 银 行 
用 密码 学 来 保障 电子 传输 的 安全 ， 分 布 在 不 同 地 域 的 公司 用 密码 学 来 保证 他 们 之 
间 的 通信 不 被 工业 谍报 人 员 和 锚 听 。 但 是 ,或 许 最 令 人 兴奋 的 应 用 在 于 ， 让 素 未 谋 


面 并 因此 无 法 提前 协商 密 钥 的 双方 也 能 够 安全 地 通信 。 随 着 互联 网 上 的 商业 活动 
日 渐 繁 来 ， 这 种 应 用 变 得 更 加 普及 。 壹 运 的 是 ， 现 今 的 指数 密 钥 交 换 协 议和 公 钠 
密码 学 能 够 使 这 类 应 用 成 为 现实 。 

Diffie 和 Hellman 在 1976 年 提出 了 公 钥 密码 学 ， 其 思想 在 于 : 有 两 个 不 同 密 
钥 ， 公 开 密 钥 用 来 加 密 消 息 ， 而 私有 密 钥 则 用 于 解密 ; 由 一 方 秘密 地 生成 这 对 密 
钥 ， 他 可 以 将 加 密 密 钥 公开 而 不 暴露 用 于 解密 的 密 铀 。 因 而 任何 人 都 可 以 给 密 铀 
生成 者 发 送 加 密 的 消息 ， 而 上 只 有 密 钥 生成 者 能 够 解密 这 一 消息 。Rivest、Shamir 
和 Adleman 于 1978 年 最 先 实现 了 这 一 思想 。 至 于 他 们 的 方案 有 多 么 闻名 于 世 ， 
我 们 来 看 看 下 面 这 段 摘 自 滑 重 喜剧 《山河 之 旅 》 中 的 对 白 吧 : 


“ 赤 伊 ,我 不 太 熟 愁 计算 机 ， 对 此 知之 其 少 。 我 了 解 到 这 个 密码 是 
两 个 差不多 100 位 的 大 素数 相 乘 得 到 的 ， 对 吧 ?” 

“是 的 ， 很 对 。 这 被 称 为 RSA 密码 系统 。” 

“好 吧 ， 这 一 名 字 来 源 于 MIT 的 Rivest、Shamir 和 Adleman。 我 只 
知道 这 么 多 。 我 也 知道 即使 是 使 用 先进 的 计算 机 来 破解 ， 也 需要 花费 无 
穷 无 尽 的 时 间 ,” 她 回忆 着 ,“ 两 个 100 位 的 素数 相 乘 得 到 的 密 钥 差不多 
需要 38 亿 年 的 时 间 来 破解 ， 对 吧 ?”“ 完 全 正确 。 很 明显 ， 所 有 被 窃取 
的 信息 都 来 自 于 从 公司 办 公 室 到 你 家 的 电话 线路 上 发 生 的 窃听 。 假 设 只 
有 麦克 掌握 解密 密 钥 ， 如 果 他 不 将 这 一 密 钥 分 发 给 别人 人， 那么 是 没 人 能 
够 解密 这 一 编码 的 。 但 是 这 一 说 法 在 区 辑 上 还 有 一 点 不 严谨 之 处 ,” 他 
边 说 边 松 了 松 深 绿色 的 丝 织 领 带 ,“Vee， 这 里 比 我 想象 的 热 好 多 啊 ， 你 
介意 我 脱 掉 外 套 吗 ?” 

"当然 不 ， 你 太 客 气 了 。 她 说 道 …… 


我 们 的 女 主角 Vee 说 道 ，RSA 的 安全 性 是 基于 分 解 两 个 素数 乘积 的 困难 性 ， 
因此 ， 它 使 得 Hardy 最 喜欢 的 “ 纯 ” 数 学 领域 (数论 ) 有 了 用 武之 地 。 这 一 密码 
系统 ( 同 大 多 数 密码 系统 一 样 ) 的 根基 在 于 简单 与 困难 的 区 别 。 生 成 一 个 公 铀 / 
私 钥 对 就 如 同 选择 两 个 100 位 的 素数 并 将 它们 相 乘 那么 容易 ， 而 正如 Vee 所 言 ， 
攻破 这 一 系统 (利用 当前 已 知 的 方法 ) 则 需要 大 量 的 时 间 才 能 完成 ; 这 似乎 需要 
用 两 个 素数 的 乘积 来 确定 这 两 个 素数 分 别 是 什么 ， 这 一 问题 称 为 整数 分 解 。 尽 管 
针对 这 一 问题 的 研究 有 着 持续 的 进展 ， 但 是 无 论 如 何 ， 已 知 的 算法 的 速度 都 还 没 
有 快 到 足以 威胁 RSA 安全 性 的 程度 。 下 面 引 用 一 个 更 了 解 市 场 营 销 手段 而 不 精 
通 数论 的 人 的 一 句 话 : 


由 于 数字 货币 系统 的 隐私 性 和 安全 性 都 依赖 于 密码 学 ， 因 此 任何 能 





够 攻破 密码 系统 的 数学 或 计算 机 科学 的 突破 都 会 是 一 场 灾难 。 而 在 数学 
方面 最 为 显而易见 的 突破 或 许 就 是 构建 一 个 能 够 快速 分 解 大 整 ( 素 ) 数 
的 方法 。 一 一 比尔 。 盖 泣 ,《 未 来 之 路 》 第 一 版 ，265 页 

(大 整数 分 解 是 这 样 的 问题 ， 即 已 知 一 个 数 ， 求 这 个 数 是 由 哪些 系 
数 相 敢 得 到 的 ， 如 果 这 个 数 是 一 个 系数 ,那么 分 解 的 结果 就 是 它 本 里 。) 


但 是 RSA 不 仅仅 用 于 加 密 。 正 如 Diffie 和 Hellman 意识 到 的 那样 ， 公 钥 密 码 
学 的 男 一 个 方面 在 于 数字 签名 。 使 用 类 似 于 RSA 的 方式 ， 公 -私密 钥 对 的 生成 者 
可 以 用 私 钥 对 文档 产生 一 个 签名 。 这 是 一 个 由 文档 产生 的 数字 ， 拥 有 公 钥 的 人 都 
可 以 验证 这 一 签名 与 文档 是 一 致 的 〈 满 足 某 种 数学 关系 )， 而 且 只 有 拥有 私 钥 的 
人 才能 够 为 文档 产生 合法 的 签名 。 因 此 一 个 文档 的 合法 签名 可 以 作为 密 钥 生成 者 
需要 为 此 负责 这 一 事实 的 强 有 力 的 证 据 。 如 果 有 人 和 修改 了 文档 ， 那 么 修改 后 的 文 
档 和 签名 不 会 再 有 相同 的 数学 关系 了 ， 因 此 这 一 文档 将 会 被 视 作 无 效 。 于 是 ， 数 
字 签 名 可 以 用 于 互联 网 中 传输 的 消息 的 认证 ， 以 此 来 防止 潜在 的 消息 算 改 和 伪 
造 。 它 们 可 以 用 于 创建 不 可 伪造 的 证 书 ， 如 电子 版 的 信用 卡 或 护照 。 它 们 也 可 以 
用 于 检测 对 计算 机 程序 未 经 授权 的 自 改 ， 如 病毒 的 侵入 等 。 

与 此 同时 ， 其 他 保障 计算 机 安全 的 技术 也 被 陆续 提出 ， 包 括 对 号 份 的 安全 认 
证 (这 与 在 电话 中 询问 某 电话 号 人 码 、 信 用 卡号 人 码 等 信息 以 确认 对 方 喘 份 类 似 )， 
对 一 个 文档 内 容 承 诺 但 不 泄露 其 信息 的 方法 (对 一 个 密封 的 信封 的 模拟 )， 为 一 
个 文档 打上 时 间 标 记 的 方法 (对 给 自己 邮寄 一 封 信 以 得 到 带 有 时 间 的 邮 惟 这 一 方 
法 的 模拟 )。 

计算 科学 对 计算 简单 问题 与 计算 困难 问题 进行 了 分 类 ， 而 密码 学 技术 正 是 构 
建 于 计算 科学 这 一 理论 之 上 : 在 你 拥有 密 钥 的 情况 下 ， 解 密 编码 是 容易 的 ; 而 如 
果 你 没有 密 钥 则 不 然 。 密 但 学 正 是 对 这 种 智 意 追求 的 具体 实现 。 

为 了 让 更 为 广大 的 读者 都 能 接触 到 这 一 人 饱 有 趣味 的 、 令 人 兴奋 的 而 且 越 来 越 
重要 的 充满 智力 挑战 性 的 领域 ， 我 开设 了 课程 “秘密 与 承诺 : 数字 安全 导论 ”。 
我 为 这 门 课 撰 写 了 这 本 书 作为 教材 。 题目 中 “秘密 ”这 个 词 表示 用 密码 学 的 方法 
来 实现 私密 通信 ; “承诺 ”这 个 词 表 示 用 数字 签名 来 保证 消息 、 文 档 或 程序 的 有 
效 性 与 完整 性 。 本 书 旨 在 对 现代 密码 学 的 基本 理论 和 其 所 依赖 的 数学 基础 给 出 一 
个 简介 ， 而 并 非 一 部 面向 实践 的 、 教 你 如 何 做 的 教材 ， 即 这 本 书 不 会 指导 读者 如 
何 用 现代 计算 机 程序 〈 如 网 页 浏览 需 和 电子 邮件 系统 ) 来 实现 数字 安全 。 这 些 程 
序 一 直 在 更 新 换代 ， 而 且 如 果 想 在 市 场 上 占有 一 席 之 地 ， 必 须 做 到 让 它们 的 使 用 
者 无 须 了 解 这 些 软件 所 依赖 的 安全 技术 便 可 轻松 使 用 。 在 本 书 中 ， 我 们 要 透 过 现 
象 看 到 问题 的 本 质 ， 人 研究 安全 技术 ， 探 寻 其 之 所 以 安全 的 原因 。 


对 于 一 些 基 本 的 密码 学 方案 ， 如 DES 和 SHA， 其 细节 并 没有 局 发 作用 ， 因 
而 在 本 书 中 我 们 省 略 对 其 细节 的 讨论 。 其 他 一 些 基 于 初等 数论 的 方案 也 能 发 挥 与 
之 相同 的 功能 ， 尽 管 这 些 基 于 数论 的 方案 效率 低下 难以 实用 ,但 是 它们 被 认为 是 
安全 的 ， 而 且 适 合 在 这 门 读 中 讲解 。 因 此 为 了 最 大 限度 地 做 到 可 该 性 与 一 致 性 ， 
我 们 在 实用 性 方面 做 出 一 定 的 牺牲 与 权衡 ， 对 于 急切 想 了 解 DES 细 区 的 谈 者 可 以 
在 其 他 教材 中 轻易 地 找到 这 些 知 识 。 
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1. 1 加 密 与 解密 


我 们 最 熟悉 的 密码 学 用 途 是 隐藏 一 个 消息 或 文档 的 内 容 ， 密 码 系 统 (crypto- 
system) 了 就是 能 够 实现 这 一 功能 的 系统 。 它 包括 两 个 部 分 ， 加密 方法 和 解密 方 
法 。 未 经 变换 的 、 可 读 的 消息 或 文档 称 为 明文 ， 经 过 变换 的 、 一 般 不 可 读 的 形 
式 称 为 密 文 (密码 系统 “cryptosystem” 在 英文 中 也 被 称 为 “cypher”"， 或 者 拼 
写 为 “cipher”) 。 


加 密 





密 文 
+ 密 角 


明文 
+ 密 钥 





解密 


加 密 (encryption) 是 将 明文 转化 为 密 文 的 过 程 。 加 密 方 法 需要 两 个 输入 : 
明文 和 密 钥 。 类 似 地 ， 解 密 方法 也 需要 两 个 输入 : 密 文 和 密 铀 ， 并 输出 明文 。 

在 传统 的 密码 系统 中 ， 加 密 和 人 解密 使 用 相同 的 密 钥 ， 这 样 的 系统 被 称 为 对 
称 密 钥 密码 系统 (symmetric-key cryptosystem)。 如 果 Alice 想 要 发 送 一 条 加 密 消 
息 给 Bob， 双 方 都 必须 知道 所 使 用 的 密 钥 。( 这 一 点 与 公 铀 密码 系统 不 同 。 在 一 
个 公 钥 密码 系统 中 ， 有 两 个 不 同 的 密 钥 ， 一 个 用 于 加 密 ， 另 一 个 用 于 解密 。 我 
们 将 在 后 面 讨 论 公 钥 密 码 系统 .) 如 果 Alice 和 Bob 和 希望 他 们 的 通信 内 容 是 保密 
的 ， 就 必须 保证 密 钥 的 秘密 性 ， 因 为 对 于 任意 穷 听 者 而 言 ， 如 果 他 知道 密 钥 并 
截取 了 密 文 ， 就 可 以 确定 明文 消 县 。 

我 们 在 这 里 假设 每 个 潜在 的 甸 听 者 都 知道 加 密 和 人 解密 的 方法 ， 在 本 书 1. 4 
节 中 将 要 详细 讨论 这 个 假设 。 这 个 假设 在 方法 论 上 是 现代 密码 学 的 基础 ， 我 们 
将 这 条 假设 贯穿 于 全 书 。 简 单 地 讲 ， 我们 总 是 假设 每 个 潜在 的 攻击 者 了 解 你 所 
使 用 密码 系统 的 每 个 细节 。 

密码 分 析 (cryptanalysis) 是 试图 攻破 密码 系统 的 过 程 ， 祝 听 者 采用 密码 分 
析 的 方法 来 发 据 Alice 发 送 给 Bob 消息 的 内 容 。 在 1.6 节 中 ， 我 们 人 简 述 甸 听 者 可 


能 采取 的 几 种 不 同类 型 的 攻击 方法 ， 但 是 密码 分 析 的 细节 知识 超出 了 本 书 讨论 
的 范围 。 


1.2 信和 意 、 安 全 与 不 安全 


我 们 常常 使 用 各 种 不 同 的 通信 媒介 ， 如 电话 网 络 、 无 线 电 波 、 有 线 电 视 网 
络 、 计 算 机 局 域 网 、 互 联网 和 印刷 媒体 等 。 银 行 通过 一 个 网 络 将 他 们 的 上 自动 取 
款 机 连接 到 中 心计 算 机 和 男 一 个 网 络 以 实现 电子 资金 转账 ; 寻 呼 服务 使 用 有 线 
和 无 线 通信 的 结合 ; 而 某 些 卫 星 和 地 球 之 间 的 通信 和 则 使 用 微波 。 我 时 常 使 用 计 
算 机 内 存在 现在 的 我 和 将 来 的 我 之 间 通 信 ; 当 我 使 用 电话 的 时 候 ， 在 我 的 声音 
到 达 听 简 之 前 ， 声 音 穿 过 了 空气 ; 而 在 拨号 的 行为 中 ， 我 是 与 电话 系统 进行 
通信 。 

我 们 硕 望 将 数字 安全 的 概念 应 用 于 所 有 这 些 通信 媒介 中 ， 为 了 达成 这 一 目 
的 ， 我 们 从 纷繁 复杂 的 差异 中 抽象 出 一 个 单一 的 、 通 用 的 术语 一 一 信道 。 信 道 
是 通信 双方 之 间 的 媒介 (我 喜欢 想象 成 连接 两 个 铁 色 的 强 )。 

当然 ， 大 多 数 通信 媒介 允许 两 方 以 上 的 实体 间 相 互通 信 ， 然 而 在 大 多 数 情 
况 下 ， 认 为 信道 连接 两 方 在 概念 上 就 足够 了 ， 因 为 如 果 有 多 方 参与 的 话 ， 我 们 
可 以 认为 存在 多 条 信道 。 

一 个 人 将 一 个 特定 通信 媒介 〈 比 如 电话 网 络 ) 看 作 是 安全 的 或 者 是 不 安全 
的 是 根据 他 自己 的 观点 而 定 的 。 比 如 说 ， 在 通常 情况 下 ， 我 们 认为 电话 网 络 是 
相当 安全 的 ， 然 而 ， 每 年 都 有 数 以 百 计 的 政府 完 听 和 监听 命令 被 批准 ， 而 每 一 
个 命令 都 会 导致 平均 数 干 段 通话 处 于 被 鳃 听 之 中 ，。 

出 于 学 习 密 码 学 的 目的 ， 我 们 将 简单 地 宣称 一 个 信道 是 安全 的 或 是 不 安全 
的 。 如 果 存 在 第 三 方 〈 禄 听 者 ) 可 以 截取 《和 穷 听 ) 信道 中 传输 的 消息 ， 我 们 认 
为 该 信道 是 不 安全 的 。 在 某 些 情况 下 ， 客 听 者 甚至 可 能 自 改 从 发 送 方 到 接收 方 
的 消息 。 

安全 信道 是 指 不 会 受到 窃听 与 干预 的 信道 。 当 然 ， 人 们 更 感 兴趣 的 是 将 密 
码 学 应 用 于 不 安全 信道 。 幸 和 运 的 是 〈 或 者 不 第 的 是 ， 取 决 于 你 怎么 看 ) ， 在 我 
们 的 现实 生活 中 不 安全 信道 比比 丝 是 。 在 本 小 节 剩 余部 分 ， 我 们 将 对 三 种 通信 
媒介 描述 某 些 导致 其 不 安全 的 特征 。 这 些 只 是 作为 例子 ,组 庸 置疑 ， 读者 也 可 
以 在 其 他 通信 媒介 中 找到 不 安全 的 因素 ， 包 括 本 节 开 头 提 到 的 各 种 通信 媒介 。 
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1.2.1 互联 网 


当今 密码 学 最 显而易见 的 应 用 都 涉及 互联 网 ， 原 因 如 下 。 痛 先 ， 互 联网 在 
某 种 程度 上 是 由 计算 机 组 成 的 ， 而 计算 机 擅长 处 理 密码 学 相关 任务 。 其 次 ， 互 
联网 是 使 先前 未 曾 熟识 的 各 方 实现 目 主 通信 的 完美 媒介 。 最 后 ， 也 是 最 重要 
的 ， 互 联网 的 特殊 结构 使 得 它 需 要 一 套 安 全 防护 机 制 。 在 互联 网 中 ， 计 算 机 极 
少 与 其 他 计算 机 直接 相连 ， 当 你 使 用 位 于 罗 德 岛 卧 室 中 的 计算 机 发 送 一 条 消息 
到 父母 位 于 加 利 福 尼 亚 的 计算 机 时 ， 你 的 这 条 消息 将 会 经 过 很 多 中 间 计 算 机 ， 
每 台中 间 计 算 机 都 会 尽力 将 消息 向 前 转发 给 更 为 菲 近 目的 地 的 为 一 全 计算 机 ， 
同时 存在 一 套 机 制 检测 这 条 消息 是 否 最 终 找到 正确 路 线 。 中 间 计 算 机 在 转发 这 
条 消息 之 前 ， 可 能 存储 这 条 消息 的 副本 ， 或 者 将 其 算 改 后 再 转发 。 然 而 ， 在 系 
统 中 没有 任何 措施 阻止 它们 这 么 做 。 一 台 流 谍 计 算 机 甚至 并 不 转发 这 条 消息 ， 
却 返回 一 条 报 文 显示 你 的 原始 消息 已 经 完成 了 传递 。 (当然 ,情况 并 不 像 这 种 
描述 那样 可 怕 ， 因 为 报 文 的 传递 路 径 经 常 是 不 可 预测 的 ， 你 的 消息 通常 被 分 成 
许多 片 ， 每 一 片 会 沿 着 不 同 的 路 径 被 转发 ， 而 且 ， 大 多 数 路 径 上 的 中 间 节 点 计 
算 机 可 能 并 非 恶意 。) 

一 个 更 为 严峻 的 情形 出 现在 远程 登录 中 。 如 果 你 在 加 利 福 尼 亚 的 一 人 台 计 算 
机 上 有 一 个 账户 ， 通 过 一 个 叫 作 “远程 登录 ” (telnet) 的 程序 ， 你 可 以 在 罗 德 
岛 的 电脑 登录 这 台 在 加 利 福 尼 亚 的 计算 机 。 当 然 加利福尼亚 的 计算 机 将 癌 你 
发 送 一 条 消息 ， 要 求 你 输入 登录 口令 。 当 你 提供 了 口令 之 后 ， 这 条 口令 会 穿 过 
罗 德 岛 与 加 利 福 尼 亚 之 间 的 所 有 中 间 计 算 机 。 任 何 一 台中 间 计 算 机 都 可 以 存储 
你 在 加 利 福 尼 亚 这 台 计 算 机 的 地 址 、 你 的 用 户 名 和 你 的 口令 ， 随 后 ， 他 们 就 获 
得 了 登录 你 账户 的 权限 。 有 证 据 表 明 ， 有 数 万 条 用 户口 令 被 流氓 计算 机 用 这 种 
方式 所 截获 。 

由 于 互联 网 被 广泛 用 于 商业 目的 ， 因 此 面临 的 威胁 日 益 增 加 。 假 设 你 在 做 
出 一 个 商业 决定 之 前 ， 用 网 页 浏览 器 获取 最 新 的 股票 信息 ， 有 可 能 (尽管 不 都 
是 这 样 ) 你 的 商业 对 手 已 经 建立 了 一 台 计 算 机 来 代替 他 真实 的 设备 ， 伪 造 了 你 
正在 搜集 的 股票 数据 。 假 设 你 要 下 载 喜 欢 的 电脑 游戏 公司 的 演示 程序 ， 有 可 能 
一 台 流 氓 计算 机 会 截取 浏览 器 发 出 的 请 求 ， 并 发 送 给 你 一 个 经 过 自 改 的 、 感 染 
了 病毒 的 版 本 。 最 后 ， 假 设 你 正在 浏览 一 个 在 线 书店 的 网 页 ， 网 站 提供 了 一 个 
方法 以 加 密 你 的 信用 卡号 ， 而 你 也 将 信用 卡号 提供 给 了 这 个 网 站 。 但 是 事实 


上 上， 你 所 浏览 的 网 页 可 能 根本 就 不 是 这 个 在 线 书 店 ， 而 是 在 一 台 流 氓 计算 机 上 
伪造 的 页 面 。 


1.2.2 局 域 网 


不 仅仅 像 从 加 利 福 尼 亚 到 罗 德 岛 这 样 的 远 距离 通信 存在 安全 隐患 ， 连 接 你 
的 电脑 与 服务 器 (用 于 存储 程序 以 及 提供 邮件 服务 等 ) 的 局 域 网 也 可 能 是 不 安 
全 的 ， 接 入 网 络 的 流 谍 计 算 机 可 能 会 侵入 你 的 通信 (使 用 一 种 被 称 之 为 “数据 
包 嗅 探 器 ”(packet-sniffer) 的 软件 )， 其 至 注入 经 过 算 改 的 数据 。 


1.2.3 移动 电话 


当然 ， 移 动 电话 利用 空中 电波 进行 通信 ， 因 而 可 能 被 挤 听 ， 如 美国 众议院 
议长 纽 特 。 金 里 奇 在 1997 年 1 月 发 现 其 电话 遭受 客 听 。 不 仅 通话 会 遭受 禄 听 威 
胁 ， 当 一 个 呼叫 被 发 起 时 ， 移 动 电话 会 传输 一 个 账号 用 于 收费 ， 这 同样 是 危险 
的 。1995 年 ， 移 动 电信 业 遭 受 了 约 四 亿 五 千 万 美元 的 诈骗 损失 吕 ， 其 中 大 部 分 
归 答 于 手机 “克隆 ”"， 即 犯罪 分 子 截获 手机 账号 ， 并 将 这 个 账号 植 入 男 一 个 手 
机 中 ， 因 此 便 “ 克 隆 ” 了 原来 的 手机 。 用 新 的 手机 打 电 话 ， 将 会 被 计 费 到 原来 
的 手机 。 

移动 电信 业界 正在 采取 措施 ， 通 过 加 入 安全 特性 来 防止 诈骗 。 然 而 ， 旧 的 
通信 标准 难以 废弃 ， 更 进一步 地 ， 正 如 1. 3 节 中 将 要 讨论 的 那样 ， 引 入 的 安全 
机 制 也 没有 被 充分 证 明 。 

即使 一 个 用 户 并 不 在 使 用 手机 ， 安 全 威胁 依然 存在 。 当 一 个 手机 漫游 的 时 
修 ， 它 将 会 品系 统 注册 位 置 变 动情 况 ， 这 些 信息 的 传输 可 以 被 截获 ， 并 被 用 来 
帮助 确定 这 个 手机 (从 而 也 是 其 机 主 ) 的 位 置 。 联 邦 调查 局 要 求 建立 标准 ， 强 
制 要 求 手机 能 够 为 警方 提供 机 主 的 位 置信 息 呈 。 


1.3 隐匿 式 安 全 
考虑 以 下 场景 . 
。 在 第 二 次 世界 大 战 期 间 ， 美 国 军 方 在 太平 洋 战 区 雇佣 印第安 纳 瓦 霍 人 来 


牟 来 自 : 贝尔 大 西洋 公司 ，http: //www. ba. com/nr/95/may/freddie. html。 
全 “执法 中 的 通信 技术 支持 ， 参 见 http: //www. epic. org/ privacy/wiretap。 
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从 事 安全 通信 的 任务 。 没 有 采用 密码 学 技术 来 确保 通信 中 的 机 密 性 ， 采 
用 纳 瓦 语 进行 通信 被 认为 是 足够 安全 的 。 就 目前 所 知 ， 该 方案 的 安全 性 
从 未 被 攻破 。 
在 埃 德 加 。 艾 伦 。 坡 的 小 说 《 失 寅 的 信 》 中 写 道 ， 同 名 的 信 被 藏 在 一 个 
很 “显眼 ”的 地 方 一 一 对 警察 来 讲 是 被 隐藏 起 来 的 〈 但 是 对 本 故事 的 主 
人 公 而 言 ， 是 不 被 隐藏 的 )。 
我 的 一 位 在 男 一 所 大 学 工作 的 富有 想象 力 的 同事 希望 将 期 中 考试 试卷 的 
初稿 分 享 给 助教 ， 以 便 做 出 修订 ， 因 而 他 将 期 中 考试 试卷 放 在 公共 文件 
夹 ， 但 是 将 这 个 文件 夹 命名 为 “systemstats”， 认 为 不 会 有 人 不 嫌 麻 烦 地 
来 翻 看 这 个 文件 夹 。 

这 些 都 是 “隐匿 式 安 全 ”的 例子 ， 其 思想 在 于 通过 保持 特定 机 制 的 秘密 性 
来 获取 安全 性 。 这 一 概念 (虽然 不 一 定 都 采用 这 一 名 称 ) 具有 悠久 的 历 
史 一 一 一 个 充斥 着 无 数 失败 的 历史 。 当 一 方 (通常 为 政府 机 构 〉 依 徘 一 种 秘密 
的 方法 获得 安全 性 时 ， 男 一 方 通常 能 够 通过 刺探 情报 、 碰 运气 或 是 长 时 间 的 工 
作 来 探知 他 们 用 了 何 种 方法 。 发 生 在 20 世纪 的 例子 有 英国 和 波兰 成 功 地 攻破 德 
国 的 恩 尼 格 玛 〈enigma) 密码 系统 ， 以 及 美国 成 功 地 攻破 日 本 的 “紫色 ”密码 
机 (07-shiki O-bun In-jrkDS 。 

安全 方案 的 开发 者 依然 在 寻求 通过 隐匿 来 获取 安全 性 。 追 溯 到 1997 年 3 月 
在 数字 移动 电话 系统 中 使 用 一 种 密码 系统 来 加 密 用 户 通 过 按键 输入 的 数字 〈 比 
如 说 拨号 ) 。 最 初 本 以 为 这 个 密码 系统 的 细节 仅 有 业内 工程 师 知 晓 ， 然 而 这 些 
技术 细节 却 被 泄露 并 公布 在 网 上 。 随 后 有 研究 者 指出 ， 该 系统 远 不 及 预期 的 那 
样 安全 。 

通过 隐匿 的 手段 来 获取 安全 性 是 个 错误 ， 尤 其 是 在 数字 化 信息 安全 无 处 不 
在 的 时 代 。 当 数字 化 系统 广泛 用 于 商业 中 时 ， 大 多 数 安 全 通信 发 生 在 从 未 接触 
过 的 双方 之 间 。 在 商业 行为 中 ， 只 有 被 广泛 分 发 的 安全 机 制 才能 是 有 用 的 。 在 
这 种 情况 下 ， 如 果 假 设 这 种 安全 策略 的 细节 不 会 落 入 有 能 力 发 现 和 利用 安全 尘 
洞 的 人 之 手 ， 这 也 未 免 太 过 于 乐观 了 。 


昌 “Kahn, 《破译 者 》(The Codebreakers) 。 


© http://www. counterpane. com/cmea. html。 


1.4 男 一 种 选择 : 柯 克 霍 夫 原则 


考虑 到 隐匿 并 非 获 取 安 全 性 的 可 靠 途径 ， 那 么 我 们 有 什么 替代 的 方法 吗 ? 
毕竟 有 些 东 西 是 必须 保密 的 。 

这 个 问题 的 答案 〈 或 者 至 少 是 这 个 问题 的 部 分 答案 ) 在 1881 年 由 一 个 了 不 
起 的 学 者 给 出 了 清晰 的 前 述 ， 此 人 当时 是 巴黎 大 学 的 德语 教授 9 。 他 在 出 生 后 
起 名 为 简 。 纪 尧 姆 . 休 伯 特 ， 维 克 多 ， 弗 朗 索 瓦 ， 亚历山大 ， 奥 古 斯 特 ， 柯 克 
霍 夫 。 汉 。 纽 汶 霍 夫 (Jean-Guillaume-Hubert-Victor-Francois-Alexandre-Auguste 
Kerckhoffs von Nieuwenhof) ， 但 是 随后 他 将 名 字 缩 短 为 奥 古 斯 特 。 柯 死 霍 夫 。 
他 的 职业 生涯 大 部 分 在 教 英语 和 德语 ， 偶 尔 也 教 意大利 语 、 拉 本 语 、 布 腊 语 、 
历史 学 和 数学 。 他 出 版 的 书包 括 语 法 学 、 德 国 戏剧 的 起 源 、 艺 术 与 宋 教 的 关 
系 ， 当 然 也 包括 密码 学 。 在 《军事 密码 学 》 一 书 中 ， 他 意识 到 之 前 提出 的 密码 
系统 远 远 不 够 安全 : 


ee 我 非常 震惊 地 看 到 ， 我 们 的 专家 和 教授 依然 在 教授 和 推荐 在 战 时 使 用 
的 一 些 密码 系统 ， 而 这 些 密码 系统 即使 是 最 没有 经 验 的 密码 分 析 学 家 都 能 够 在 
不 到 一 小 时 内 找到 其 密 铀 。 


柯 克 埠 夫 意识 到 ， 关 于 安全 性 的 欺骗 性 论断 通常 基于 如 下 误导 性 的 推断 : 
系统 地 尝试 所 有 的 密 钥 需要 几 个 世纪 的 时 间 ， 这 一 观点 促使 了 对 密码 学 的 忽视 
与 轻信 : 


… 或 许 …… 可 以 认为 ， 某 些 作者 的 信 口 断 言 比 完全 缺少 关于 秘密 书写 技 
术 的 严肃 著作 更 大 地 加 深 了 对 于 密码 系统 价值 的 错误 观念 。 


从 而 柯 克 霍 夫 认识 到 ， 一 个 密码 系统 的 安全 性 通常 并 不 应 该 由 它 的 开发 者 
经 过 纯粹 的 推理 而 建立 ， 而 是 应 该 经 受 独立 的 密码 分 析 者 严酷 的 攻击 测试 来 获 
得 呈 。 他 提出 现在 我 们 称 之 为 柯 克 霍 夫 原则 的 一 条 准则 : 密码 系统 的 安全 性 应 
该 仅仅 取决 于 所 使 用 的 密 钥 的 保密 性 ， 而 不 是 对 该 方案 本 身 的 保密 。 

柯 克 霍 夫 原则 要 求 假 设 每 一 个 潜在 的 攻击 者 和 黑客 都 能 够 了 解 你 所 使 用 的 
密码 系统 的 所 有 细节 。 这 是 个 翡 观 的 假设 , 但 它 确 确实 实 是 需要 的 。 正 如 


昌 此 材料 来 自 于 《破译 者 》。 
日 ”在 探讨 完美 安全 时 ， 我们 会 看 到 一 个 例外 。 
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Schreier 所 说 ,“ 人 们 可 以 假设 中 央 情 报 局 不 会 习惯 于 告诉 摩 萨 德 〈 以 色 列 的 情 
报 机 构 ) 他 们 所 使 用 的 密码 算法 ， 但 是 摩 院 德 可 能 通过 任何 方法 来 获取 这 一 算 
法 。” 柯 死 霍 夫 原则 尤其 适用 于 被 大 量 人 群 使 用 的 安全 系统 《比如 网 页 浏览 天 
中 的 安全 系统 )， 因 为 所 有 这 些 人 必须 被 授予 至 少 是 隐 式 访问 系统 细节 的 权 
限 一 一 而 你 的 敌人 ， 或 许 就 在 这 些 人 之 中 。 

柯 殉 翟 夫 原 则 是 诱 人 的 ， 但 是 如 果 没 有 一 个 密码 系统 能 够 满足 该 原则 的 严 
格 要 求 的 话 ， 这 一 原则 依然 没有 任何 意义 。 对 于 构造 安全 性 如 此 之 高 的 密码 系 
统 ， 以 至 于 对 于 完全 了 解 该 系统 的 敌手 部 无 法 攻破 ， 我们 应 当 抱 有 多 高 的 期 望 
呢 ? 正如 埃 德 加 。 匡 伦 。 坡 在 车 名 的 小 说 《 金 甲虫 》 中 摘 述 的 那样 ， “或许 有 
理由 怀疑 ， 人 类 的 智 意 是 否 能 够 创造 人 类 无 法 通过 恰当 方法 解决 的 谜团 .。” 就 
像 我 在 本 书 中 希望 要 表述 的 ， 我们 有 理由 相信 安全 的 密码 系统 事实 上 是 确实 存 
在 的 。 


1.5 密码 学 分 类 


尽管 从 狭义 上 来 讲 ， 密 码 学 是 研究 秘密 书写 〈 即 加 密 ) 的 学 科 ， 但 是 它 已 
发 展 成 为 数字 化 安全 领域 中 周 括 了 多 项 技术 的 一 个 通用 的 术语 。 在 密码 学 研究 
中 ， 在 不 同 的 概念 层次 之 间 进 行 区 分 是 有 帮助 的 。 目 前 ， 将 其 分 为 如 下 五 个 类 
型 就 足够 了 : 

1. 含糊 的 安全 目标 

2. 形式 化 的 安全 目标 

3. 协议 

4. 密码 学 构建 模块 

5. 密码 学 构建 模块 的 实现 

含糊 的 安全 目标 是 密码 学 最 抽象 的 元 素 ， 也 促使 其 他 几 个 层面 的 出 现 与 发 
展 。“ 我 希望 和 他 人 的 通信 和 是 私密 的 。-”“ 我 需要 一 个 不 可 伪造 的 文件 。-”“ 我 希 
望 确信 对 计算 机 程序 的 任何 修改 都 是 可 检测 的 .” 虽 然 密 码 学 的 方法 能 够 实现 
上 述 目标 ， 但 是 这 些 说 法 太 过 笼统 ， 我 们 无 法 验证 这 些 目标 是 否 已 经 达到 。 比 
如 ， 为 了 保证 通信 的 隐私 性 ， 我 们 必须 确保 任何 窃听 者 都 不 能 获知 通信 的 内 
容 。 对 于 一 个 潜在 的 窃听 者 来 说 ， 哪 些 信息 和 资源 是 可 用 的 ? 他 能 够 采取 什么 
样 的 行为 ? 窃听 者 是 否 能 获取 通信 的 内 容 严 重 依赖 于 上 述 问题 的 答案 。 

为 了 语言 描述 更 为 精确 以 及 更 加 专用 ， 我 们 必须 致力 于 形式 化 的 安全 目标 。 


一 个 形式 化 的 安全 目标 表明 了 一 个 能 够 采取 特定 攻击 手段 、 拥 有 特定 资源 〈 比 
如 时 间 、 内 存 、 计 算 能 力 ) 的 攻击 者 无 法 攻破 该 系统 。 我 们 将 在 1.6 节 中 讨论 
各 种 攻击 类 型 。 学 习 了 概率 论 和 计算 复杂 性 的 相关 知识 之 后 ， 我 们 可 以 深入 了 
解 形式 化 安全 目标 。 

密码 协议 是 指 多 方 之 间 进 行 通信 的 一 系列 规则 ， 以 实现 某 些 密码 学 目标 。 
例如 ， 接 下 来 我 们 将 要 讨论 到 双方 如 何 通 信 以 安全 地 协商 一 个 密 钥 ; 我 们 将 实 
现 这 一 功能 的 协议 称 为 指数 密 钥 协商 (exponential key agreement)。 人 们 可 以 将 
“加 密 - 发 送 - 接 收 -解密 ”这 一 过 程 看 作 一 个 非常 简单 的 协议 : 一 方 将 明文 加 密 ， 
随后 发 送 给 男 一 方 ， 男 一 方 将 其 解密 。 男 一 个 用 于 认证 的 简单 协议 是 计算 机 登 
录 : 一 个 用 户 发 送 消 息 要 求 访问 计算 机 ; 计算 机 回应 要 求 用 户 输入 口令 ; 这 个 
用 户 发 回 口 令 ; 计算 机 发 回 一 个 消 奶 授权 用 户 访问 。 我 们 同样 也 将 学 到 复杂 锯 
认证 协议 。 

协议 由 密码 学 构建 模块 构成 。 我 们 最 为 熟悉 的 密码 学 构建 模块 便 是 密码 系 
统 ,， 但 在 本 书 中 ， 我们 同样 也 将 会 讨论 其 他 类 型 的 密码 学 构建 模块 ， 包 括 单 问 
国 数 、 消 息 摘 要 明 数 和 数字 签名 系统 等 。 人 们 通 稼 通过 非 形式 化 的 或 者 形式 化 
的 安全 目标 将 每 个 密码 学 构建 模块 联系 在 一 起 。 

区 分 概念 上 的 构建 模块 和 这 些 模块 的 特定 实现 经 常 是 有 帮助 的 。 举 例 来 说 ， 
有 很 多 不 同 的 密码 系统 ,但 是 它们 在 实现 安全 目标 上 起 看 相同 的 作用 。 现 代 密 
公 学 的 部 分 力量 正 来 自 于 密码 学 人 研究 者 在 抽象 的 层面 上 区 分 和 描述 了 有 用 的 密 
码 学 构建 模块 。 

抽象 使 得 密码 协议 的 开发 者 能 够 实现 更 大 的 普 适 性 。 例 如 ， 当 协议 需要 用 
到 一 个 密码 系统 时 ， 开 发 者 无 须 指明 具体 用 的 是 哪个 密码 系统 〈 无 须 说 “利用 
密码 系 统 DES 进行 加 密 ……… ”) ， 而 仅仅 说 明 所 用 到 的 密码 系统 满足 何 种 安全 日 
标 即 可 。 男 一 方面 ， 这 种 普 适 性 使 得 协议 更 为 健壮 : 如 果 有 一 天 DES 的 使 用 被 
废止 了 (有 人 指出 DES 现在 就 该 废止 )， 那 么 协议 可 以 简单 地 使 用 其 他 密码 系 
统 ， 例 如 IDEA 即 可 。 

通过 抽象 而 达到 的 一 般 性 不 仅仅 是 研究 者 的 一 个 工具 ， 也 是 实用 密码 协议 
开发 的 原则 ， 比 如 SSL 协议 ， 这 是 一 个 做 入 在 当前 网 页 浏览 器 中 并 参与 大 多 数 
安全 Web 交互 的 协议 ， 这 个 协议 的 一 般 性 设计 ， 人 允许 其 可 以 随意 使 用 密码 模块 
的 各 种 不 同 的 实现 。 

对 于 大 多 数 新 的 构建 模块 概念 ， 例 如 会 钥 加 密 及 数字 签名 ， 我 们 将 探讨 它 
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们 在 实践 中 采用 的 实现 方式 。 但 是 ， 就 像 在 前 言 中 所 说 ， 对 于 其 他 一 些 构建 模 
块 一 一 对 称 密 钥 加 密 、 单 向 函数 和 消息 摘要 函数 一 一 我 们 将 不 再 讨论 它们 在 现 
实 中 典型 的 实现 细节 。 这 些 构建 模块 的 实现 细节 并 没有 多 大 启发 性 ， 构 建 这 些 
模块 的 设计 原则 也 超过 了 本 书 的 讨论 范畴 。 对 于 这 些 密码 学 构建 模块 ， 我 们 会 
讨论 其 他 几 种 不 同 的 实现 方法 ， 这 些 其 他 的 实现 方法 如 果 运 用 正确 的 话 ， 也 能 
够 和 现实 中 使 用 的 方案 一 样 安全 。 我 们 将 会 仔细 地 提示 读者 ， 什 么 时 候 描 述 的 
方案 是 来 日 实践 。 


1.6 对 密码 系统 的 攻击 


让 我 们 通过 关注 最 熟悉 的 密码 学 工具 一 一 加 密 ， 以 使 讨论 变 得 稍微 具体 。 
假设 Alice 需要 给 Bob 发 送 一 条 隐私 信息 ， 因 此 她 将 这 个 信息 进行 了 了 加密， 而 
密 钥 只 有 她 和 Bob 知晓 。 窃 听 者 Eve 的 目标 在 于 侵犯 通信 过 程 的 隐私 。 在 最 坏 
的 情况 下 ，Eve 可 以 准确 地 读 取 通信 中 的 信息 ， 这 通常 需要 Eve 知道 加 密 过 程 
所 使 用 的 密 钥 (回顾 一 下 前 言 中 卡 萨 庄 瓦 的 故事 )。 但 是 ， 如 果 Eve 通过 监测 密 
文 获取 了 某 些 信息 ， 虽然 并 没有 获得 准确 和 完整 的 通信 信息 ， 但 这 依然 破坏 了 
Alice 和 Bob 通信 过 程 的 隐私 性 。 即 使 一 个 密码 系统 像 这 样 被 部 分 破解 ， 依 然 会 
产生 严重 的 后 果 (例如 我 们 后 续 将 要 学 到 的 VENONA 项 目 )。 

“获得 某 些 信 息 ” 是 一 种 很 模糊 的 说 法 ， 在 本 书 的 这 一 阶段 ， 我 们 还 不 能 从 
技术 层面 上 对 这 一 说 法 给 出 形式 化 的 表述 。 无 论 如 何 ， 让 我 们 来 继续 考虑 在 破 
解密 码 系 统 的 过 程 中 Eve 能够 利用 哪些 信息 。 通 和 常 区 分 四 种 类 型 的 攻击 ， 按 照 
攻击 强度 开 序 排列 ， 它 们 是 : 

。 唯 密 文 攻击 

。 已 知 明 文 攻击 

。 选择 明文 攻击 

。 选择 密 文 攻击 

假设 通过 截取 Alice 发 送 给 Bob 的 一 条 或 多 条 消息 ，Eve 能 够 对 这 些 密 文 进 
行 分 析 ， 从 而 获得 关于 这 些 密 文 所 对 应 的 明文 的 某 些 信息 。 这 种 情形 下 ， 我们 
说 Eve 使 用 了 唯 密 文 攻击 。 

假设 Eve 截取 了 一 条 密 文 ， 而 她 已 经 知道 了 这 条 密 文 所 对 应 的 明文 。 她 可 
能 会 分 析 明 文 和 密 文 之 间 的 关系 ， 以 便 得 出 关于 密 钥 的 某 些 信息 。 这 些 信息 能 
够 帮助 她 解密 用 相同 密 钥 加 密 的 其 他 信息 。 在 这 种 情形 下 ， 我 们 说 Eve 采用 了 
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已 知 明文 攻击 。 在 更 一 般 化 的 这 类 攻击 中 ， 她 或 许 能 够 获取 和 使 用 许多 这 样 的 
明文 - 密 文 对 。 

下 面 我 们 考虑 Eve 采用 的 一 种 更 为 主动 的 攻击 方式 。 假 设 她 能 够 目 己 选择 
明文 ， 并 让 Alice 进行 加 密 ， 而 Alice 无 知 地 将 Eve 选择 的 明文 进行 加 密 。 对 
Eve 来 说 ， 能 够 获得 由 她 选择 的 明文 来 生成 的 明文 - 密 文 对 是 非常 有 用 的 。 上 面 
ET EY SO ET Re 二 
个 驻 日 大 使 曾 报 告 说 :“ 一 个 日 本 政府 高 官 希望 向 我 们 政府 发 送 一 条 密码 消息 ， 
他 们 不 希望 这 条 消息 被 日 本 军 方 获知 ， 因 此 他 们 让 我 将 这 条 消息 用 我 们 最 高 级 
别 的 加 密 和 手段 进行 加 密 ， 我 说 当然 我 会 这 样 做 。” 吕 

在 Eve 所 能 够 进行 攻击 的 一 个 变 体 中 ， 她 或 许 和 Bob 关系 友好 ， 人 能够 让 
Bob 将 她 选择 的 密 文 解密 。 具 体 而 言 ，Eve 构造 一 个 密 文 ， 而 她 对 于 这 个 密 文 
所 对 应 的 明文 一 无 所 知 ， 但 是 她 能 够 说 服 Bob 来 向 她 提供 该 密 文 所 对 应 的 明 
文 。 这 便 被 称 作 选择 密 文 攻击 ， 事 实 上 ， 这 种 攻击 方式 是 很 有 效 的 ， 比 如 ， 妆 
Eve 构造 的 密 文 和 她 想 要 破解 的 密 文 在 某 种 程度 上 具有 相似 性 时 。 有 一 种 针对 
RSA 密码 系统 的 攻击 就 是 这 种 类 型 的 。 


1.7 思考 题 


1. 在 下 列 每 个 通信 场景 中 ， 请 简 述 赞成 或 者 反对 该 信道 安全 的 理由 。 提 示 : 无 
须 给 出 技术 层面 的 描述 ， ,er 
(a) 通过 电话 下 信用 卡 订单 
(b) 从 自动 取款 机 取现 金 
(c) 通过 邮件 支付 业务 账单 
(d) 给 你 的 教授 发 送 一 封 电子 邮件 

2. 你 注册 了 一 门 密码 学 课程 ， 而 你 的 死对头 Eve 恰好 加 入 了 这 门 课 的 教学 团 
队 。 基 于 上 述 事实 ， 请 用 自己 的 语言 描述 当 你 运行 这 门 课程 提供 的 软件 时 ， 
会 面临 什么 样 的 风险 。 同 样 ， 你 无 须 给 出 技术 层面 的 答案 。 


全 Kahn，495 页 。 


| 第 2 章 


A Cryptography Primer:， Secrets and Promises 


模 算 术 


2. 1 凯撒 密码 


我 们 知道 〈 由 当代 作家 苏 维 托尼 乌 斯 所 说 2 )， 尤 里 乌 斯 。 凯 撒 利 用 了 一 种 
密码 系统 ， 该 系统 中 的 明文 A 被 密 文中 的 D 所 替换 ，B 被 玉 所 替换 ， 以 此 类 
推 。 字 母 表 最 后 三 个 字母 分 别 被 字母 表 前 三 个 字母 所 替换 。 以 下 是 该 加 密 方 案 
的 一 个 例子 ; 


明文 V E N I V I D I V ] C I 
数值 21 1 13 8 21 8 3 8 21] 8 . 8 
仙 沪 24 7 16 11 24 11 6 11 24 和 9 11 
密 文 本 H Q L 0 I ( , 是 I 到 Ls 


为 了 从 数学 上 描述 饥 撤 密码 ， 我 们 将 字母 表 中 的 每 个 字母 表示 为 0 至 25 之 
间 的 某 个 整数 : 0 表示 A，1 表示 B，…，25 表示 Z。 这 样 ， 加 密 0 (A) 至 22 
(W) 之 间 的 某 个 明文 元 素 只 需要 加 3 就 可 以 了 。 那 么 ， 加 密 23 (X)、24 (YY) 
和 25 (Z) 呢 ? 对 这 三 个 元 素 , 我 们 也 对 其 加 3， 只 不 过 是 以 一 种 不 同 的 方 
式 一 一 当 超 过 25 以 后 ， 我 们 接着 从 0 重新 开始 。 因 此 ， 对 于 24， 我 们 对 其 加 
1， 获 得 25， 然 后 再 加 1， 获 得 0 而 不 是 26 ， 然 后 再 加 1， 最 终 获得 1。 同 样 ， 
对 于 25， 我 们 加 1， 获 得 0 而 不 是 26， 然 后 加 两 次 1， 获 得 2。 

解密 以 相同 的 方式 进行 处 理 ， 但 这 里 需要 减 去 3， 而 不 是 加 3 一 一 需要 注 
意 ，0 减 去 3 得 到 的 是 23，1 减 去 3 得 到 的 是 24，2 减 去 3 得 到 的 是 25。 


2. 2 整数 “ 圈 ” 
正如 可 以 将 普通 的 加 减法 可 视 化 为 一 个 整数 轴 一 样 ， 我 们 也 可 以 将 上 述 这 


加 来 自 Kahn, 第 2 章 。 


种 加 减法 可 视 化 为 一 个 整数 圈 : 





整数 圈 清楚 地 表明 ， 如 果 沿 从 左 至 右 的 方向 经 过 25， 则 返回 到 0; 如 果 党 
从 右 至 左 的 方向 经 过 0， 则 到 达 25。 

利用 该 整数 圈 的 加 法 称 为 模 26 加 法 。 在 模 26 的 情境 中 ， 恰 好 有 26 个 数 
字 。 我 们 在 整数 轴 上 将 其 标识 为 0 到 25。 数 26 称 为 模 。 当 然 ， 我 们 经 常 使 用 
一 些 其 他 的 模 ， 在 下 面 的 章节 中 会 有 示例 。 


2.3 日 常生 活 中 的 模 算术 


你 之 前 肯定 见 到 过 模 加 法 运算 ,虽然 可 能 并 不 是 以 这 个 名 字 见 到 的 。 例 如 ， 
考虑 一 个 钟表 的 表盘 : 





假定 现在 是 9 点 钟 ， 你 想 知道 6 小 时 后 是 什么 时 间 。 这 需要 使 用 到 模 12 算 

术 : 9 加 6 等 于 3 ( 模 12)。 
在 处 理 罗 盘 方 位 和 角度 时 ， 用 到 的 模 数 是 360。 假 定 你 现在 正 往 正 北方 问 
走 ; 方位 是 0 度 。 然 后 向 右 转动 110 度 ; 现在 的 方位 是 110 度 〈 大 致 是 东南 - 偶 
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东方 向 )。 然 后 再 向 右 转 动 120 度 ， 方 位 变 成 230 度 。 到 目前 为 止 ， 使 用 的 都 是 
角度 的 普通 加 法 。 然 而 ， 如 果 继 续 回 在 转 动 150 度 ， 则 得 到 的 方位 是 386 
20 度 。 





在 该 背景 下 ， 应 该 使 用 7 作为 模 数 。 假 定 今天 是 周 四 ， 用 数字 4 来 表示 。5 
天 以 后 是 周 几 呢 ? 我 们 在 4 上 5 加 得 到 92， 因 此 是 周二 。13 天 后 是 周 几 ? 我 
们 在 4 上 加 13 得 到 43?# 3， 所 以 是 周三 。700 天 以 后 是 周 几 ? 注意 到 700 天 正好 
是 100 个 周 ， 因 此 和 今天 一 样 是 周 四 。 最 后 这 个 例子 表明 ， 加 上 7 的 倍数 并 不 
会 带 来 结果 的 不 同 。 加 上 7 和 加 上 14 其 效果 是 一 样 的 ， 还 有 加 上 21， 或 者 加 
上 0, 或 者 减 去 7。 


2. 4 同 余 

数学 家 利用 模 同 余 的 概念 来 形式 化 模 算 术 。 我 们 称 两 个 整数 关于 一 个 给 定 
的 模 数 同 余 ， 当 它们 相差 模 数 的 倍数 。 例 如 ， 如 果 模 数 是 7， 则 3、10 以 及 17 
是 同 余 的 。 表 述 两 个 表达 式 同 余 的 式 子 被 称 为 同 余 式 。 
2.4.1 模 7 同 余 

我 们 用 7 作为 模 数 。 如 果 两 个 整数 相差 7 的 倍数 ， 则 这 两 个 数 模 7 同 余 。 


例如 ，4 同 余 于 11 (也 就 是 4 十 7) 以 及 18 〈 也 就 是 4 十 2X7)， 甚 至 同 余 于 一 3 
(也 就 是 4 十 (一 1)X7)。 书 写 同 余 式 的 数学 符号 和 书写 等 式 的 数学 符号 是 相似 
的 : 等 式 符号 (“二”) 是 由 两 条 短线 组 成 ， 而 同 余 式 符号 由 三 条 短线 组 成 
(“三 ”)。 例 如 ， 如 下 同 余 式 

1 三 8 (mod 7) 
表示 1 和 8 关于 模 数 7 同 余 。 注 意 在 圆 括号 中 我 们 用 “modulo” 的 缩写 “mod” 
来 指明 模 数 。 

以 下 是 更 多 关于 模 7 的 例子 。 读 者 可 以 通过 检查 这 些 数 的 差 是 否 是 7 的 倍 

数 来 验证 它们 是 否 真 的 同 余 : 
2= 30 (mod 7) 
一 9 三 一 2 (mod 7) 
一 20=8 (mod 7) 
7 三 0 (mod 7) 
14 寺 0 (mod 7) 

当然 ， 如 果 两 个 数 相 等 ， 其 差 为 0， 也 是 7 的 倍数 (0 乘 以 7 等 于 0)。 这 

说 明 任何 真 等 式 对 应 一 个 真 同 余 式 。 例 如 ， 由 于 4 十 5 二 9， 所 以 同 余 式 
4 十 5 三 9 (mod 7) 
成 立 。 

最 后 ， 因 为 有 时 候 反 复 地 写 “ 模 7” 也 比较 麻烦 ， 因 此 很 多 时 候 ， 当 对 于 
同一 个 模 数 执行 很 多 次 运算 时 ， 可 以 预先 说 明 模 数 是 什么 ， 比 如 是 7， 然后 就 
不 必 再 写 明 了 。 在 每 人 都 知道 模 数 是 7 的 情况 下 ， 可 以 直接 说 “1 和 8 同 余 ” 
或 直接 写 “1 二 8”。 


2.5 另 一 个 例子 : 模 10 同 余 


本 书 作 者 最 喜欢 的 模 数 之 一 是 10， 因 为 当 使 用 该 模 数 时 ， 很 容易 判断 同 余 
式 。 比 如 说 考虑 整数 314 159。 该 数 可 以 写成 
314 159 = 31 415 X 10++9 
该 等 式 表明 ，314 159 与 9 相差 10 的 倍数 。 因 此 下 面 的 同 余 式 成 立 : 
314 159 三 9 (mod 10) 
类 似 地 ， 任 何 正 整数 都 与 它 的 个 位 数 〈 模 10) 同 余 ， 因 为 剩 下 的 整数 是 10 的 
倍数 。 


由 此 推断 ， 如 果 两 个 正 整数 个 位 数 相 同 ， 则 二 者 〈 模 10) 同 余 。 


2.6 同 余 代 换 


我 们 应 该 知道 如 何 将 子 表 达 式 替换 成 与 之 相等 的 子 表达 式 来 简化 等 式 。 例 
如 ， 由 于 12 十 4 等 于 16， 因 此 ， 我 们 可 以 将 等 式 
(12 十 4) XX2= zz 十 1 
写成 
16 义 2 一 工 十 1 
在 处 理 同 余 式 时 ， 也 可 以 将 涉及 加 法 、 减 法 和 乘法 的 子 表达 式 蔡 换 为 与 其 
同 余 的 子 表 达 式 。 这 里 有 一 个 例子 ， 假 定 下 面 的 模 7 同 余 式 成 立 : 
(12 十 4) X2 三 工 十 1 (mod 7) 
由 于 12 十 4 ( 模 7) 同 余 于 2， 我 们 有 
2X2 汪 zz 二 1 (mod 7 ) 
同 余 代 换 的 思想 非常 重要 ， 因 此 我 们 将 其 表述 成 如 下 原理 : 


同 余 代 换 原理 ”在 任意 一 个 成 立 的 模 同 余 式 中 ， 将 任意 子 表 达 式 替换 为 一 个 





与 其 同 余 的 子 表 达 式 ， 所 得 的 模 同 余 式 仍 成 立 。 ET 


2. 6. 1 使 用 代 换 简化 多 个 数 相 加 


代 换 可 以 使 得 模 运 算 更 加 人 简单。 我 们 从 如 下 同 余 式 开始 : 
十 和 十 机 十 怀 十 8 下 EECiood 7) 
因为 5 十 6 等 于 11， 而 11 与 4 同 余 ， 因 此 可 以 将 上 述 式 子 中 的 子 式 5 十 6 替换 
为 4， 这 样 得 到 
4 十 外 二 半生 5 十 和 二 Crod 7) 
继续 这 一 方法 ，4 十 3 等 于 7， 而 7 与 0 同 余 ， 因 此 可 以 将 子 式 4 十 3 替换 为 0: 
GF4-- 5 二 6 法 (mod 7) 
因为 0 十 4 十 5 等 于 9， 而 9 与 2 同 余 ,将 0 十 4 十 5 蔡 换 为 2， 得 到 : 
: 2 十 6 三 (mod 7) 
最 后 ，2 十 6 等 于 8，8 与 1 同 余 ， 所 以 有 
1 = (mod 7) 


2.6.2 使 用 代 换 简化 多 个 数 相 乘 


在 有 乘法 运算 的 情况 下 ， 利 用 代 换 可 以 防止 数 变 得 过 大 ， 因 此 该 技术 更 加 

有 用 。 我 们 从 如 下 同 余 式 开始 : 
59。60。3。4。5。6 三 过 (mod7) 
因为 5，6 等 于 30, 而 30 一 4。7 十 2， 因 此 30 同 余 于 2， 因 此 我 们 可 以 将 子 式 
5。6 蔡 换 为 2， 得 到 
2。3。4。5。6 三 工 (mod7) 
继续 ，2。3 等 于 6， 所 以 有 
6»4*»5*.。6xw (mod7) 
因为 6，4 等 于 24， 同 余 于 3， 我 们 将 6，4 替换 为 3， 得 到 
3。5。6 三 Z(mnod 7) 
因为 3。5 等 于 15， 同 余 于 1， 我 们 将 3。5 蔡 换 为 1， 得 到 
1s6 三 地 (mod 7) 
也 就 是 
Epod 7) 

在 上 述 推导 中 ， 我 们 不 需要 乘 比 6 大 的 数 ， 因 为 在 每 次 乘法 之 后 ， 我 们 将 
乘积 替换 为 比 模 数 小 的 同 余数 了 。 这 个 技巧 在 我 们 处 理 同 余 式 中 涉及 数 以 千 计 
的 整数 乘法 时 是 很 必要 的 。 在 此 后 的 章节 中 可 以 发 现 ， 这 种 同 余 式 会 在 密码 学 
中 出 现 。 


和 有 3 弟 克 寺 


模 九 算术 是 检查 一 般 的 算术 是 否 正 确 的 一 种 有 效 的 技巧 。 假 定 你 进行 了 一 
次 涉及 乘法 和 加 法 的 运算 ， 但 你 并 不 能 确定 计算 结果 是 否 正 确 。 例 如 ， 下 面 的 
等 式 成 立 吗 ? 
5837。48 十 42 090 一 327 066 


正如 2.4. 1 节 中 所 说 ， 如 果 等 式 成 立 ， 则 对 任意 模 数 ， 相 应 的 同 余 式 也 成 立 。 
特别 地 ， 使 用 9 作为 模 数 ， 如 果 上 述 等 式 成 立 ， 则 下 面 的 同 余 式 也 应 该 成 立 : 


5837 .48 十 42 090 二 327 066 (mod 9) 
为 了 简化 该 同 余 式 ， 我 们 将 5837 写成 十 进 制 形式 : 
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5837 一 5。103 十 8。102 十 3 。10 十 7 
。 首先 考察 3。10 模 9， 因 为 10 同 余 于 1， 所 以 3。10 同 余 于 3。1， 也 就 
是 同 余 于 3。 
。 其 次 考察 8。102 ，102 等 于 10。10。 因 为 10 同 余 于 1， 所 以 10。10 同 
余 于 1。1， 也 就 是 1， 因 此 ，8。102 同 余 于 8。1， 也 就 是 8。 

。 最 后 考察 5。103 ， 同 样 ，103 同 余 于 1， 因此 5。103 同 余 于 5。 

将 上 述 结果 合 在 一 起 ，5。103 十 8。102 十 3。10 十 7 同 余 于 5 十 8 十 3 十 7， 也 就 
是 说 ，5837 同 余 于 它 每 位 数字 之 和 。 

上 述 过 程 意味 着 对 于 任意 正 数 : 由 于 10、102、103 以 及 10 的 更 高 震 次 都 
能 ( 模 9) 同 余 于 1， 因此 任意 正 整 数 都 〈( 模 9) 同 余 于 它 每 位 数字 之 和 。 

可 以 反复 使 用 这 种 思想 。 我 们 看 到 5837 同 余 于 5 十 8 十 3 十 7， 也 就 是 23。 
而 23 也 同 余 于 它 本 身 每 位 数字 之 和 2 十 3， 也 就 是 5。 因 此 ，5837 与 5 同 余 。 

那 5837。48 呢 ? 48 同 余 于 它 每 位 数字 之 和 4 十 8， 也 就 是 12。12 同 余 于 它 
每 位 数字 之 和 ， 也 就 是 3。 因 此， 通过 代 换 ，5837。48 同 余 于 5。3， 也 就 是 
15， 而 15 同 余 于 1 十 5， 也 就 是 6。 

5837。48 十 42 090 呢 ? 我 们 已 经 知道 5837。48 同 余 于 6。 根据 “数位 和 ?” 
原则 ， 我 们 可 以 知道 42 090 同 余 于 4 十 2 十 0 十 9 十 0， 也 就 是 6 十 9。 因 为 我 们 正 
在 进行 模 9 运算 ， 这 样 9 同 余 于 0， 所 以 6 十 9 同 余 于 6。 (任何 时 刻 只 要 我 们 看 
到 9， 就 可 以 在 数位 求 和 中 省 去 ; 任何 时 刻 只 要 我 们 看 到 某 些 数位 上 的 数 加 起 
来 是 9， 比 如 2 和 7,， 也 可 以 直接 省 去 。 这 就 是 该 技术 被 称 为 “ 舍 九 法 ”的 
原因 。) 

我 们 知道 5837。48 同 余 于 6，42 090 同 余 于 6。 因 此， 通过 代 换 ，5837，。 
48 十 42 090 同 余 于 6 十 6， 也 就 是 12， 由 于 12 每 位 数字 的 和 为 3， 因而 同 余 
于 于 

我 们 的 目的 是 检查 以 下 同 余 式 是 否 正确 : 


59837 。48 十 42 090 327 066 (mod 9) 
式 子 左边 同 余 于 3。 式 子 右边 呢 ? 一 种 简化 右边 的 方法 是 将 每 位 数字 加 起 来 ， 
得 到 24， 然 后 将 24 的 每 位 数字 加 起 来 ， 得 到 6。 一 种 更 快 的 方式 是 注意 到 2 和 
7 加 起 来 得 9，3 和 6 加 起 来 得 9， 剩 下 的 数字 是 0 和 6， 加 起 来 是 6。 这 两 种 方 
式 都 表明 ， 式 子 右 边 同 余 于 6。 此 前 ， 我 们 已 经 知道 式 子 左边 同 余 于 3。 因 为 3 
并 不 和 6 同 余 ， 所 以 该 同 余 式 不 成 立 。 这 也 就 说 明 此 前 的 等 式 5837。48 十 
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42 090 王 327 066 不 成 立 。 

我 们 阐述 了 一 种 检查 涉及 加 法 和 乘法 的 普通 运算 是 否 成 立 的 方法 。 这 种 检 
查 方法 与 直接 算出 所 有 加 法 和 乘法 相 比 更 容易 ， 也 更 不 易于 出 错 。 该 方法 也 不 
能 保证 万 无 一 失 。 如 果 等 式 并 不 成 立 ， 但 是 左边 和 右边 相差 9 的 倍数 ， 则 相应 
的 同 余 式 也 成 立 。 然 而 ， 大 多 数 情况 下 ， 该 方法 还 是 有 效 的 。 对 我 们 来 说 ， 更 
重要 的 是 ， 这 种 方法 说 明 ， 在 处 理 同 余 式 时 使 用 代 换 是 很 有 用 的 。 


2.7 代表 元 与 余数 


考虑 一 个 代 议 制 民 主 制度 ， 其 中 每 个 人 有 且 仅 有 一 个 代表 。 我 们 在 模 算 术 
中 引入 这 个 思想 。 对 于 一 个 特定 的 模 数 mx， 我 们 定义 整数 0,，1,， 2, …,， m 一 1 
为 代表 元 。 这 一 定义 来 源 于 下 面 的 定理 : 

代表 元 定理 : 每 个 整数 恰好 和 整数 0，1，2,，…，m 一 1 中 的 一 个 模 m 


例如 ， 在 模 7 的 情况 下 ， 每 个 整数 和 整数 0，1，2，3，4，5，6 中 的 一 个 
同 余 。 


2.7.1 商 和 余数 
上 述 定理 基于 数论 中 的 一 个 基本 结论 : 


带 余 除 法 定理 ， 对 每 个 整数 和 每 个 正 整 数 m， 存 在 唯一 整数 g 及 唯一 整 
涩 六 其 市 大 局 于 0 1 2 sw 殉 一 1 满足 
一 9g72 十 7 C2. 1 


例 : 

。 今 b= 二 25，m 二 7， 则 等 式 (2.1) 在 g= 二 3,， r= 二 4 时 成 立 ( 即 25 一 3。7 十 4) 。 

。 今 b= 二 62，m 二 7， 则 等 式 (2.1) 在 g 二 8, r= 二 6 时 成 立 ( 即 62 二 8，7 十 6)。 

。 今 5 二 99，m 二 12， 则 等 式 (2.1) 在 g 二 8,， r= 二 3 时 成 立 ( 即 99 一 8 。 
12 十 3)。 


如 上 面 例子 所 示 ， 当 5b 被 m 除 时 ，r 称 为 余数 ，g 称 为 商 。 计 算 余 数 和 加 


法 、 乘 法 一 样 ， 也 是 一 种 算术 运算 。 鉴 于 加 法 、 乘 法 都 有 各 自 的 运算 符 十 和 
Xx ， 我 们 也 为 余数 操作 定义 一 个 运算 符 rem。 我 们 用 8 rem m 来 表示 融 余 除法 定 
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理 中 的 r+。(rem 是 英文 remainder 的 简写 ,) 
例 : 
。25 rem7 是 4。 
。62 rem7 是 6。 
。 99 rem 12 是 3。 


那么 rem 与 模 算术 有 什么 关系 呢 ? 事实 上 ，2 rem m 的 值 恰恰 就 是 56 模 m 的 
代表 元 ! 20 
。 7 一 0 rem m 是 整数 0，1，2,，…，m 一 1 中 的 一 个 ， 也 就 是 说 它 是 代 
家 元 。 
。 等 式 5b 二 qm 十 r 表明 5 和 7 相差 mx 的 倍数 ， 也 就 是 说 5b 同 余 于 +r 《mod m)。 


2.7.2 利用 rem 检查 两 个 数 是 否 同 余 
rem 的 一 个 用 途 就 是 判断 两 数 a 和 2 是 否 模 m 同 余 。 
判定 同 余 关 系 
我 们 可 以 使 用 下 面 的 论证 。 


假定 a 和 2 具有 相同 的 模 m 代表 元 ， 因 而 它们 都 与 该 代表 元 〈 模 2) 同 余 ， 





从 而 二 者 彼此 同 余 。 
数学 上 ， 我 们 写作 
如 果 a rem m 二 b rem m， 则 a 寺 6 (mod m)。 


30 (mod 7) 同 余 于 51 吗 ? 为 了 回答 这 个 问题 ， 我 们 计算 30 和 51 的 模 7 代 
表 元 。30 除 以 7 的 余数 是 2， 因 此 2 是 30 的 代表 元 。51 除 以 7 的 余数 是 2， 所 以 
2 也 是 51 的 代表 元 。 因 此 ，30 同 余 于 2，51 也 同 余 于 2， 所 以 30 和 51 彼此 
同 余 。 


判定 非 同 余 关 系 
可 以 利用 rem 来 判定 两 个 整数 是 否 同 余 。 那 么 ， 可 以 利用 rem 来 判定 两 个 
整数 是 否 不 同 余 吗 ? 


我 们 使 用 下 面 的 论证 。 
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假定 a 和 6 ( 模 mx) 同 余 。 因 为 a 同 余 于 其 代表 元 ,5 同 余 于 a， 所 以 5 同 余 


于 六 的 代表 元 。 因为 2 仅 和 整数 0， ] ， 人 ne m 一 1 中 的 一 个 同 余 ， 即 和 它 
的 代表 元 同 余 ， 所 以 5 的 代表 元 就 是 a 的 代表 元 。 





数学 上 ， 我 们 写作 


如 果 a=2 (mod m)， 则 a rem m 一 2 rem mm。 


这 就 表明 ， 如 果 a 的 代表 元 不 同 于 5 的 代表 元 ， 则 a 和 2 不 同 余 。 

40 (mod 7) 同 余 于 73 吗 ? 我 们 计算 40 和 73 的 代表 元 。40 除 以 7 的 余数 
是 5， 所 以 5 是 40 的 代表 元 。73 除 以 7 的 余数 是 3， 所 以 3 是 73 的 代表 元 。 由 
于 40 和 73 具有 不 同 的 代表 元 ， 因 此 它们 不 同 余 。 


2.7.3 使 用 rem 简化 模 同 余 式 


在 2.6.1 节 和 2.6.2 节 中 ， 我们 使 用 同 余 代 换 原 理 来 判定 复杂 的 同 余 式 是 
否 成 立 。 每 一 步 我 们 将 子 表达 式 替换 为 与 其 同 余 的 子 式 。 如 果 采 用 这 样 的 法 
则 ， 即 总 是 将 子 表达 式 蔡 换 为 其 代表 元 ,我们 就 可 以 保证 计算 中 间 结 果 不 会 变 
得 过 大 一 一 特别 地 ， 可 以 保证 中 间 结 果 总 是 小 于 模 数 。 

假定 我 们 想 要 解 同 余 式 

12。11。10。9。8。7 三 工人 (mod 13) 

在 计算 左边 时 ， 可 以 不 将 所 有 乘法 全 部 算 完 ， 而 是 每 次 仅 进 行 一 次 乘法 ， 
并 用 其 模 13 的 代表 元 替换 乘积 : 

12。11 等 于 132， 而 132 除 以 13 的 余数 是 2， 所 以 我 们 用 2 来 蔡 换 12。 
11， 这 样 同 余 式 变 成 

2。10。s69.。.8.。.7 汪 zx (mod 13) 
2。10 等 于 20，20 除 以 13 的 余数 是 7， 所 以 我 们 将 2。10 替换 成 7， 获得 同 
余 式 
7e。9。.8.。.7 三 xX (mod 13) 
进一步 地 ， 我 们 将 7， 9 替换 为 7。9 rem 13， 也 就 是 11， 获 得 
ll。8.。7 汪 x (mod 13) 
然后 将 11。8 替换 为 11。8 rem 13， 也 就 是 10， 得 到 
10 » 7 三 (med 13) 
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将 10。7 替换 为 10，7 rem 13， 也 就 是 5。 最 后 得 到 
5 = x (mod 13) 
因此 ， 党 一 二 是 一 个 解 。 


2.7.4 利用 rem 简化 涉及 rem 计算 的 等 式 


假定 要 求 计算 
l2。°61l。s10。69。°。68。7.。6 rem 13 
我 们 知道 ， 计 算 余数 得 到 的 结果 就 是 模 13 的 代表 元 。 根 据 以 下 事实 : 
如 果 a 尖 6b (mod m), 则 a rem m= 二 bremm 
我 们 可 以 看 到 ， 如 果 将 12。11。10。9。8。7 替换 为 任何 与 其 同 余 的 子 式 ， 结 
果 不 变 。2.7.3 节 中 的 运算 结果 表明 
12。11。10。9。8。7 三 5 (mod 13) 
因此 ， 我 们 只 需要 计算 
2。6 rem 13 
很 容易 得 到 表达 式 的 计算 结果 为 4。 


2.7.5 负 整 数 的 代表 元 


我 们 已 经 知道 ，b rem m 是 5 除 以 m 的 余数 。 但 是 ， 我们 所 说 的 余数 在 带 余 
除法 定理 中 定义 为 非 负 整 数 。 当 2 是 负数 时 ， 这 会 跟 读 者 关于 余数 概念 的 直觉 
相 冲 突 。 例 如 ， 有 读者 可 能 会 认为 一 15 rem 7 的 结果 是 一 1 (一 15 除 以 7， 商 
为 一 2， 余数 为 一 1) ， 但 是 我 们 需要 结果 是 一 个 模 7 的 代表 元 。 同 余 于 一 1 的 
代表 元 是 6， 所 以 我 们 定义 一 15 rem 7 的 结果 是 6。 同样 ， 一 3 rem 7 等 于 4， 
一 25 rem 7 等 于 3，。 


2.8 思考 题 


1. 给 出 下 列 问 题 的 答案 并 说 明 原 因 。 今 天 是 周三 。 
(a) 7 天 以 后 是 周 几 ? 
(b) 67 天 以 后 是 周 几 ? 
(c) 如 果 一 个 获得 通过 的 政府 提案 决定 ， 在 周 六 后 面 加 上 一 天 ， 那么 从 今天 
开始 算 ，67 天 以 后 是 周 几 ? 
2. 给 定数 4. 512 835 128 351 283 512 83…， 小 数 点 后 第 295 位 数 是 多 少 ? 并 给 
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By 


出 你 答案 的 原因 。 

3. 一 个 简单 的 两 人 游戏 是 这 样 的 :你 和 你 的 对 手 面前 有 一 堆 硬 币 。 你 们 轮流 拿 
硬币 ， 可 以 拿 一 枚 、 两 枚 或 者 三 枚 。 你 的 目的 是 让 对 手 拿 到 最 后 一 枚 硬币 。 
和 朋友 试 试 这 个 游戏 ， 然 后 回答 下 列 问题 。 

(a) 请 补充 完整 下 面 的 表格 。 


‘OO oN 和 TD 本 


th 
CD 





(b) 令 nn 为 桌面 上 的 人 硬币 数目 。 现 在 轮 到 你 拿 硬币 。 请 问 你 需要 拿 几 枚 ? 利 
用 nn 给 出 你 的 管 案 。 

(c) 考虑 这 个 游戏 的 变 体 一 一 每 个 玩家 可 以 拿 一 枚 、 两 枚 、 三 枚 或 者 四 枚 便 
币 。 请 补充 完整 下 面 的 表格 : 


] 
2 
3 
4 
3 
6 
7 
8 
9 


5 
SO 





| 24 | (d) 对 于 问题 的 变 体 ， 请 回答 问题 〈b) 。 
4. 对 于 以 下 同 余 式 ， 求 出 解 z。 你 给 出 的 解 应 该 是 代表 元 ( 当 模 数 是 mw 时 ， 应 
ED ls Be wy 1 的 ==< 人 TT》 
(a) ES (mod 8) 
(bb w=7+34 (mod 4) 
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ke 13 22=x (rnod 13) 
(WD 8—7w (rmiod 38) 
(€@) ZE=9— 19 《mod 7) 

5. 给 出 下 列 同 余 式 的 解 (代表 元 )，。 
(a) 12+4-F57T+ i2417 二 x (mod 12) 
Ch) 7m=2 (mod 39 
(GD ==16~2 Cred 8 
(od) a * 73 mod 17 
(全 T=3* (B87 = (mma 7) 

Ci B11 Cod 10) 

6. 计算 : 

(a) 16 十 2 rem 8 

(b) 57。73 rem 17 

Ce》 B= (87—5 rem ¥ 

(dy) (—5=(—11) Wm | 





可 选 


村 蕊 ， 三 


第 3 章 | 


A Cryptography Primer: Secrets and Promises 


加 法 密码 : 一 个 不 安全 的 分 组 密码 


纪 撤 密码 系统 口 可 以 被 轻易 地 攻破 。 最 直接 的 攻击 利用 了 凯撒 密码 的 密 钥 


取 范 围 过 小 这 


个 事实 。 假 设 攻击 者 Eve 截取 到 如 下 密 文 : 


UMTSJENXEYFUUIJI 
该 密 文 使 用 山 撒 密码 系统 加 密 ， 所 使 用 的 字母 表 包 含 了 空格 与 26 个 英文 字 


钥 下 对 应 的 明文 ， 从 而 得 到 昌 : 


中 猜 


的 。 


[26 | 未 必 是 


如 果 Eve 有 理由 相信 上 明文 是 英文 句子 ， 她 应 


出 消息 内 容 。 


这 个 例子 说 明 如 果 一 个 密码 系统 的 密 钥 取 值 范 围 过 小 ， 
结论 的 逆 命 题 并 不 成 立 : 
安全 的 。 在 本 章 中 ， 我 们 给 出 一 个 简单 的 密码 系统 ， 


然而 ， 这 个 


这 里 说 的 应 


第 上 个 字母 代替 ; 前 面 提 到 的 凯撒 体制 是 上 一 3 的 情形 。 
加 “为 便于 读者 观察 ， 我 们 调换 了 解密 结果 的 顺序 


并 用 # 代 替 空 格 。 


UMTSJENXEYFUUJI 
TLSRIDMWDXETTIH 
SKRQHCLYCWDSSHG 
RIQPGBKUBVCRRGEF 
QIPOFAJTAUBQOQFE 
PHONE#IS#TAPPED 
OGNMDZHRZS#OODC 
NFMLCYGQYRZNNCB 
MELKBXFPXQYMMBA 
LDKJAWEOWPXLLA# 
KCJI#VDNVOWKK#Z 
JBIHZUCMUNVJIJZY 
IAHGYTBLTMUIIYX 


H#GFXSAKSLTHHXW 


一 一 译 者 注 


GZFEWR JRKSGGWYV 
FRYEDVOQZEQOJIRFFEYDY 
EXDCGUPYHPIQEEUT 
DWCBTOXGOHPDDTS 
CVBASNWFNGOCCSR 
BUA#RMVEMFNBBROQ 
AT#ZQLUDLEMAAQP 
#SZYPKTCKDL##PO 
ZRYXOJSBJCKZZON 
YQXWNIRAIBJYYNM 
XPWVMHQ#HAIXXML 
WOVULGPZG#HWWLK 


VNUTKFOYFZGVVK]J 


，Z。Eve 首先 可 以 枚 举 所 有 27 种 可 能 的 密 钥 ， 并 找 出 密 文 在 每 个 密 


该 不 难 从 上 述 可 能 的 明文 列表 


则 该 系统 是 不 安全 


一 个 密 钥 取 值 范围 足够 大 的 密码 系统 


一 一 译 者 注 


， 解 密 结 果 按 上 一 0，1，2，… 


它 是 一 个 一 般 化 的 


该 是 比 前 面 提 到 的 凯撒 密码 系统 更 一 般 的 情况 ， 加 密 规则 是 将 每 个 字母 用 其 后 面 的 


，26 的 顺序 列 出 ， 


加 法 移 码 : 一 个 不 用 会 的 分 组 终 码 25 


翅 撤 密码， 我 们 称 之 为 加 法 密码 。 我 们 以 该 系统 为 例 说 明 分 组 密码 的 概念 以 及 
一 些 傈 单 的 密码 分 析 攻 击 。 


3. 1 加 法 密码 


我 们 以 凯撒 密码 作为 起 点 ， 并 尝试 修复 它 最 明显 的 缺陷 密 钥 取 值 范围 过 
小 。 加 和 密 的 方法 使 用 模 加 运算 ， 其 中 的 模 数 为 字母 表 的 大 小 ， 并 且 每 个 代表 元 
都 对 应 一 个 密 钥 。 我们 在 此 大 幅度 地 增 大 模 的 取 值 ， 这 样 将 增 大 密 钥 取 值 范 
围 。 例 如 ， 可 以 令 模 数 取 值 为 1000000000000 ( 即 1012 ) 。 想 象 在 一 个 含有 1012 
个 字母 的 外 星 字 母 表 上 使 用 凯撒 密码 ， 密 钥 将 是 与 该 模 数 相对 应 的 一 个 代表 
元 ， 即 从 0 到 999999999999 中 的 任意 一 个 数字 。 要 加 密 这 个 外 星 字 母 表 的 一 
个 字母 ， 我 们 可 以 将 字母 对 应 的 数字 与 密 钥 相 加 ， 并 把 和 约 减 为 代表 元 〈 即 小 
于 102 的 非 负 整数 ) ， 这 就 是 密 文 的 一 个 字符 。 

我 们 想 要 在 明文 取 自 我 们 自己 的 小 字母 表 时 使 用 这 个 加 密 系 统 。 这 里 有 一 
种 方法 : 使 用 0 到 999999999999 中 的 数 去 表示 由 6 个 符号 组 成 的 序列 ， 数 的 
每 两 位 表示 一 个 符号 。 两 位 数字 可 以 表示 100 个 符号 ， 这 对 于 表示 如 空格 、 小 
写字 母 、 大 写字 母 、 数 字 以 及 各 种 印刷 符号 来 说 绰绰有余 了 。 例 如 ， 字 符 串 
“we try” 可 以 表示 成 数字 230500201825。 假 如 Alice 希望 可 以 使 用 密 铀 
620487370109 加 密 这 个 消息 。 通 过 计算 230500201825 加 620487370109 模 
1012 ， 我 们 可 以 得 到 密 文 850987571934。 


3.2 分 组 密码 


显然 ， 一 个 只 能 加 密 6 个 符号 组 成 的 明文 的 加 密 系 统 的 用 处 非常 有 限 。 那 

么 Alice 应 如 何 使 用 加 法 密码 系统 加 密 包 含 更 多 符号 (例如 ，50 个 符号 ) 的 明 
文 呢 ? 这 类 方案 一 般 的 名 称 叫 作 分 组 密码 (block cypher) ， 基 本 的 加 密 方 法 称 
为 分 组 加 密 (block encryption)， 分 组 加 密 可 以 处 理 的 明文 大 小 称 为 分 组 长 度 
分 组 长 度 可 以 通过 明文 的 位 数 来 度量 。 例 如 ,在 3.1 节 所 描述 的 加 密 系 统 中 ， 
分 组 长 度 为 12 (十进制) 位， 分 组 加 密 方 法 是 将 明文 与 密 钥 进行 模 102 的 加 法 
运算 。 

为 使 一 个 分 组 密码 能 处 理 任 意 长 度 的 明文 ， 最 简单 的 方案 称 为 电子 密码 本 
(Electronic Code Book，ECB) 模式 ， 如 图 3. 1 所 示 。Alice 先 将 明文 消息 分 组 。 
第 一 个 分 组 由 前 12 位 组 成 ， 第 二 个 分 组 包括 接 下 来 的 12 位 ， 以 此 类 推 。 在 这 
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个 例子 中 一 共有 五 个 这 样 的 分 组 ， 最 后 一 个 分 组 使 用 额外 的 0 进行 填充 使 其 保 
持 正 确 的 分 组 长 度 。 下 一 步 Alice 分 别 加 密 每 一 个 分 组 ， 所 有 的 分 组 使 用 相同 
的 密 钥 加 密 。 最 终 密 文 为 每 个 分 组 加 密 所 得 到 的 密 文 组 成 的 序列 。 


明文 消息 分 组 


“An air” ”Strike” “will o” “ccurt” “onight” 


7823 
"ee 


836523 936598 228361 792866 634901 
密 文 消息 分 组 


图 3.1 ECB 模 式 示意 


下 面 让 我 们 看 一 个 小 例子 。 假 如 Alice 使 用 一 个 仅 支 持 两 位 明文 的 加 法 密码 
系统 ， 即 明文 取 值 范围 为 0 到 99 之 间 的 数字 ， 系 统 的 密 钥 也 是 0 到 99 之 间 的 
数字 。 密 文通 过 将 明文 与 密 钥 模 100 相 加 产生 ， 所 以 密 文 也 是 0 到 99 之 间 的 数 
字 。 假 设 Alice 想 要 加 密 一 个 16 位 的 明文 ， 例 如 3057205711654928。 假 如 她 的 
密 钥 为 11。 那 么 她 首先 将 明文 分 成 八 个 分 组 : 

30 57 20 57 11 65 49 28 

接着 ， 她 使 用 她 的 密 钥 11 分 别 加 密 每 一 个 分 组 。 对 30 的 加 密 为 41， 对 57 
的 加 密 为 68， 以 此 类 推 。 最 终 她 获得 八 组 密 文 : 

41 68 31 68 22 77 60 39 

她 把 这 些 密 文 分 组 合并 起 来 ， 得 到 密 文 4168316822776039， 并 传 给 Bob。 
要 解密 该 密 文 ， 类 似 地 ，Bob 将 密 文 分 成 八 个 分 组 ， 并 依次 解密 每 一 个 分 组 。 

值得 注意 的 是 ， 上 述 的 方案 本 质 上 是 一 个 凯撒 密码 系统 (使 用 模 数 100 代 
替 凯 撒 密 码 中 的 26)。 如 果 明 文 含有 某 些 可 以 预测 的 特性 ， 则 密 文 会 有 一 些 相 
关 的 性 质 。 例 如 ， 如 果 分 组 05 代表 字母 e， 那么 它 会 在 明文 中 频繁 出 现 ， 因 此 
分 组 16 将 会 在 密 文 中 频繁 出 现 。 如 果 Eve 知道 所 使 用 的 密码 系统 有 这 种 特点 ， 
但 是 不 知道 密 钥 ， 那 么 她 可 以 分 析 一 段 长 的 密 文 并 有 望 借 此 获得 关于 密 钥 的 信 
息 ， 进 而 获得 关于 明文 的 信息 。 为 了 抵抗 这 种 类 型 的 攻击 ， 设 计 分 组 密码 的 密 
码 学 者 们 应 该 确保 分 组 长 度 足 够 大 ， 以 至 于 这 种 模式 很 难 发 生 ， 比 如 分 组 长 度 
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为 20 位 甚至 更 多 。 


3.3 对 加 法 密码 的 攻击 


即使 分 组 长 度 非常 大 ， 使 用 电子 密码 本 模式 的 加 法 密码 系统 仍 不 安全 。 我 
们 讨论 一 些 对 它 的 攻击 。 


3. 3. 1 已 知 明文 攻击 


假设 Alice 和 Bob 已 预先 协商 了 一 个 密 钥 ， 并 且 Alice 向 Bob 发 送 了 一 个 利 
用 加 法 密码 系统 加 密 的 长 消息 ， 其 分 组 长 度 为 20 位 数字 ， 进 一 步 假 设 Eve 截获 
了 密 文 而 且 她 碰巧 知道 或 者 猜测 Alice 在 给 Bob 的 每 段 消息 的 开头 都 会 写 “Dear 
Bob”。 因 此 Eve 知道 了 第 一 个 分 组 的 明文 和 密 文 。 她 利用 分 组 加 密 公 式 

cyph= plaint key rem 1020 
来 计算 密 钥 : 
key—=cyph— plain rem 1020 
Eve 现在 可 以 利用 计算 出 来 的 密 钥 解密 密 文中 剩 下 的 所 有 分 组 了 。 

我 们 可 以 看 到 ， 如 果 Eve 知道 明文 中 的 一 个 分 组 以 及 对 应 的 密 文 ， 则 她 可 
以 将 密 钥 求 出 。 

接 下 来 ,假设 Eve 并 不 确切 地 知道 Alice 消息 的 开头 ， 她 只 知道 Alice 消息 
开头 的 常见 形式 ， 或 者 说 只 知道 20 种 (甚至 10 000 种 ) 可 能 的 方式 ， 她 都 可 
以 利用 上 述 过 程 ， 为 每 一 种 可 能 的 第 一 个 明文 分 组 算出 对 应 的 密 钥 。 然 后 她 依 
次 尝试 用 每 一 个 密 钥 去 解密 整个 消息 。 对 每 一 个 错误 密 钥 (证 明 是 不 正确 的 候 
选 密 钥 ) 来 说 ，Eve 很 有 可 能 得 到 无 意义 的 明文 。 对 正确 的 密 钥 来 说 ，Eve 会 
得 到 有 意义 的 明文 。 

当然 ， 对 于 某 些 错误 密 钥 来 说 ， 得 到 的 明文 同样 可 能 并 非 胡 言 乱 语 。 但 是 ， 
当 消 息 足 够 长 的 时 候 ， 这 种 事情 是 极其 罕见 的 。 退 一 步 来 说 ， 即 使 Eve 仅仅 是 
将 Alice 所 发 送 的 可 能 的 明文 范围 缩小 到 两 三 个 候选 明文 之 中 ， 她 同样 成 功 地 
威胁 了 Alice 的 隐私 ， 并 因此 攻破 了 方案 的 安全 性 。 值 得 注意 的 是 ， 在 后 一 种 
攻击 中 ，Eve 利用 了 她 对 Alice 可 能 发 送 的 消息 类 型 的 先 验 知识 进行 攻击 。 具 体 
来 说 ， 她 利用 了 她 对 明文 第 一 个 分 组 的 相对 精确 的 知识 (这 种 技巧 可 以 针对 任 
何 特定 的 分 组 ， 例 如 最 后 一 个 分 组 ;， 以 及 利用 了 整个 消息 非常 有 可 能 是 英文 
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3. 3.2 叭 密 文 攻击 


在 有 些 情形 中 ， 为 了 从 密 文 中 获得 有 用 的 信息 ，Eve 甚至 不 需要 对 明文 有 
任何 的 了 解 。 此 时 ， 她 可 以 利用 对 消息 固有 的 一 般 知 识 进行 攻击 。 
例如 ， 假 设 在 每 月 初 ，Alice 都 会 向 Bob 发 送 一 个 消息 ， 该 消息 包含 Bob 在 
本 月 为 Alice 的 产品 做 广告 的 预算 费用 。 该 消息 利用 20 位 数字 的 加 法 密码 系统 
进行 加 密 ， 并 且 每 月 都 使 用 相同 的 密 铀 。 (即使 Alice 为 比尔 ， 羡 获 工 作 ， 假设 
明文 不 会 超过 10” 也 是 不 会 有 问题 的 ,) Eve 是 Alice 的 竞争 者 ， 并 且 想 要 知道 
Alice 每 月 广告 预算 的 变化 。 假 设 Eve 截获 了 一 月 和 二 月 的 密 文 。 她 得 到 了 以 下 
两 个 等 式 : 
Jan. cyph. = Jan. plain key rem 1020 
Feb. cyph. = Feb. plaintkey rem 1020 
注意 到 通过 将 两 式 相 减 ， 她 得 到 : 
Jan. cyph. — Feb. cyph. =Jan. plain— Feb. plain (mod 1020 ) 
由 于 Eve 知道 一 月 和 二 月 的 密 文 ， 她 可 以 通过 进行 模 102 的 减法 获得 一 月 
和 二 月 明文 模 10” 的 差 。 也 就 是 说 ， 她 可 以 获得 一 月 与 二 月 广告 预算 的 差 值 模 
10” 的 代表 元 。 
真正 的 差 值 或 者 是 上 述 差 值 模 10” 的 代表 元 (如 果真 正 的 差 值 为 正 数 的 
话 )， 或 者 上 述 差 值 模 10” 的 代表 元 减 去 102 〈 如 果真 正 的 差 值 为 负数 的 话 )。 
Eve 应 该 不 难看 出 哪个 是 真正 的 差 值 。( 对 于 读者 来 说 ， 尝 试 举 一 个 小 数目 的 例 
子 可 能 更 清楚 ， 例 如 预算 大 概 在 10 或 者 15 左右 ， 模 大 小 为 50。) 


3.4 对 使 用 ECB 模式 的 分 组 密码 的 攻击 


目前 为 止 ， 我 们 已 经 看 到 了 如 何 利用 加 法 密码 系统 的 特性 进行 攻击 。 然 而 ， 
任何 使 用 ECB 模式 的 分 组 密码 系统 都 有 安全 性 缺陷 。 例 如 ， 注 意 到 如 果 在 不 同 
的 消息 中 出 现 同样 的 明文 分 组 ， 那 么 其 对 应 的 密 文 分 组 也 相同 。 假 设 Alice 给 
她 的 代理 人 Bob 发 送 经 过 加 密 的 买卖 订单 。Eve 截获 了 这 些 密 文 ， 然 后 等 着 看 
Bob 会 随后 在 市 场 中 采取 何 种 行为 。 如 果 在 后 面 的 密 文中 重新 出 现 了 某 些 相同 
的 分 组 ，Eve 就 可 以 对 某 些 订单 做 出 一 些 猜测 ， 并 可 以 针对 Bob 的 行动 做 出 一 
些 针对 性 的 布置 。 

由 于 ECB 模式 的 安全 性 缺陷 ， 它 很 少 被 使 用 。 我 们 会 在 随后 的 章节 中 讨论 


加 法 笋 码 : 一 个 不 颁 会 失 分 组 笋 码 29 


一 些 更 加 安全 的 分 组 加 密 模 式 。 
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.5 思考 题 
. 假设 你 是 窃听 者 Eve。 你 截获 了 如 下 密 文 符号 : “L”。 你 知道 它 是 使 用 凯撒 


密码 系统 进行 加 密 得 到 的 ， 但 是 你 不 知道 密 钥 。 试 列举 出 所 有 的 密 钥 ， 并 确 
定 所 有 可 能 的 解密 结 采 。 


. 现在 考虑 将 明文 / 密 文 符号 表 上 的 加 /解密 函数 作为 分 组 密码 的 基础 。 即 单独 


加 /解密 明文 / 密 文 的 每 一 个 符号 。 假 如 你 还 是 Eve， 并且 截获 了 如 下 使 用 基 
于 凯撒 密码 系统 的 分 组 加 密 方案 所 加 密 的 密 文 。 假 如 明文 为 一 段 喘 文 ， 应 该 
怎么 解密 这 个 消息 呢 ? 

KYVVCVGYREKZJREXIP 


. 现在 假设 你 已 经 知道 密 钥 为 17 了 ， 明 文 是 什么 ? 
. 假如 你 正 使 用 一 个 只 含有 四 个 符号 的 字母 表 ( 例 如， 字母 “A”“B”“C” 


es 

(a) 在 这 个 字母 表 上 可 以 使 用 多 少 种 不 同 的 凯撒 密码 系统 ? (也 就 是 说 ， 密 
钥 空 间 有 多 大 ?) 

(b) 该 字母 表 上 有 多 少 种 不 同 的 代 换 密 钥 ? 
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4.1 基础 知识 


一 个 二 元 关系 是 一 个 集合 中 成 员 与 另 一 个 集合 中 成 员 的 配对 方式 。 我 们 可 
以 使 用 图 示 来 表示 一 个 关系 : 对 于 关系 中 形成 的 每 个 对 子 ， 存 在 一 个 从 该 对 成 
员 中 的 第 一 项 指向 第 二 项 的 箭头 。 因 此 本 章 中 从 图 4. 1 开始 的 所 有 的 图 均 表 示 
二 元 关系 。 

如 有 果 在 关系 中 存在 一 个 箭头 x 一 y， 我 们 说 “zx 映射 到 y”， 且 在 这 关系 下 
“y 是 工 的 像 %。 因 此 在 图 4. 1 描述 的 关系 中 ， 元 素 1，4 和 5 都 映射 到 96，1 还 
映射 到 94， 元 素 2 映射 到 100， 最 后 3 映射 到 99。 男 一 种 说 法 是 96 是 1 的 像 ， 
同时 也 是 4 和 5 的 像 ， 其 他 类 似 。 

一 个 单 输入 函数 是 一 种 特殊 的 二 元 关系 ， 其 中 第 一 个 集合 中 的 每 一 项 恰 
好 有 一 个 出 发 的 箭头 ， 也 就 是 说 第 一 个 集合 中 的 每 一 项 恰好 映射 到 第 二 个 集 
合 中 的 一 个 元 素 。 因 此 图 4. 2 表示 一 个 单 输入 函数 ， 但 是 图 4. 1 不 是 。 实 际 
上 ， 图 4. 1 描述 的 关系 不 是 一 个 阻 数 ， 有 两 个 原因 : 1) 第 一 个 集合 中 存在 元 
素 〈 即 元 素 1) 映射 到 两 个 元 素 ，2) 存在 没有 映射 到 其 他 元 素 的 元 素 〈 即 元 
素 6) 。 

第 一 个 集合 被 称 为 函数 的 定义 域 ， 第 二 个 集合 被 称 为 上 域 (或 陪 域 ，codo- 
main) 。 因 此 图 4.2 所 摘 述 的 函数 的 定义 域 是 {0，1，2，3，4，5}， 上 域 是 
{0，1，2，4，6，12，20}。 注 意 到 对 于 这 个 函数 ， 并 不 是 上 域 中 的 每 一 个 元 
素 都 是 某 个 元 素 的 像 (也 就 是 有 箭头 指向 它 )。 换 言 之 ， 上 域 中 存在 元 素 ( 即 1 
和 4) 没有 进入 的 箭头 。 这 是 可 以 的 ， 它 并 不 违背 函数 的 定义 。( 稍 后 我 们 将 讨 
论 这 样 的 函数 ， 其 上 域 中 的 每 一 个 元 素 至 少 有 一 个 进入 稍 头 ， 这 样 的 函数 被 称 
为 映 上 的 ， 即 满 射 。) 上 域 中 所 有 定义 域 中 元 素 的 像 组 成 函数 的 值 域 。 因 此 一 
个 函数 的 值 域 是 其 上 域 的 子 集合 。 图 4.2 中 函数 的 值 域 是 {10，2，6，12， 
20}。 





定义 域 上 域 





图 4.2 一 个 函数 例子 ， 其 定义 域 是 140,1,2,3,4,5} 


考虑 将 定义 域 中 的 元 素 作 为 函数 的 输入 。 相 对 应 的 输出 是 输入 所 指向 的 元 
素 。 我 们 指出 输出 的 集合 即 为 值 域 。 再 一 次 强调 ， 函 数 的 最 主要 法 则 是 定义 域 
中 的 每 一 个 元 素 必须 有 单一 的 输出 箭头 。 

对 于 某 些 函数 ， 存 在 一 个 很 好 的 数学 法 则 告诉 你 ， 对 每 一 个 输入 ， 如 何 计 
算 相 应 的 输出 。 例 如 ， 对 于 图 4. 2 描述 的 函数 ， 该 法 则 是 

TPri* (xr—1) 

利用 这 一 点 ,假设 你 想 计算 与 输入 3 相对 应 的 输出 。 复 制 卢 右边 的 公式 ， 
但 是 用 3 取代 x。 产生 的 结果 告诉 你 与 3 相对 应 的 输出 〈 即 3。，2， 结 有 果 为 6)。 

然而 ， 你 必须 说 记 以 下 两 点 。 

1. 法 则 并 不 能 完全 确定 一 个 函数 ; 定义 域 和 上 域 也 必须 被 指定 。 

2. 并 不 是 所 有 的 函数 都 有 很 好 的 法 则 去 质 述 。 | 33 | 

第 1 点 并 没有 严格 地 被 遵守 ， 因 为 定义 域 和 上 域 经 常 在 上 下 文中 是 非常 明 
显 的 。 例 如 ， 如 果 计 算 模 7， 则 定义 域 和 上 域 很 可 能 就 是 {0,1,2,3,4,5,6}。 
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4.2 可 逆 性 
图 4. 3 描述 了 另外 一 个 函数 ， 它 与 上 一 个 例子 有 相同 的 定义 域 。 


定义 域 上 域 


图 4.3 定义 域 与 图 4.2 相同 的 函数 


这 个 例子 与 上 面 的 例子 有 一 点 重要 的 不 同 ， 在 这 个 例子 中 ， 上 域 中 的 每 个 
元 素 恰 好 是 定义 域 中 一 个 元 素 的 像 〈 和 定义 域 中 有 且 仅 有 一 个 元 素 以 这 个 元 素 为 
像 ) 。 很 容易 从 图 示 中 识别 这 类 函数 。( 这 是 我 们 使 用 这 类 图 示 的 主要 原因 。) 

这 一 特性 的 意义 在 于 ， 这 样 一 个 函数 是 可 逆 的 。 也 就 是 说， 如 采 把 箭头 反 
转 ， 把 以 前 的 值 域 当 作 定义 域 , 把 以 前 的 定义 域 作为 上 域 ， 你 会 得 到 一 个 新 隔 
数 。 这 一 新 函数 被 称 为 旧 函 数 的 送 。 因 此 图 4. 3 中 函数 的 逆 是 图 4. 4 所 描述 的 


盟 数 。 


图 4.4 图 4.3 中 函数 的 道 函 数 
尝试 着 对 图 4. 2 中 的 函数 做 同样 的 处 理 ， 你 会 得 到 图 4. 5 中 描述 的 二 元 关 
系 。 注 意 到 新 定义 域 中 的 某 些 元 素 〈 例 如 0) 有 多 条 箭头 出 去 ， 因 此 该 图 不 能 
表示 一 个 盟 数 。 


图 4.5 对 图 4.2 中 的 函数 尝试 给 出 其 逆 的 表示 ， 该 关系 不 是 一 个 男 数 


回 到 可 道 冰 数 及 它们 的 逆 。 猜 想 一 下 ， 图 4.4 所 描述 的 天 数 的 逆 是 什么 ? 
是 的 ， 它 的 逆 函 数 就 是 图 4.3 中 的 函数 。 一 个 函数 的 逆 的 逆 是 原来 的 函数 。 
(这 里 没什么 深奥 的 ; 你 把 箭头 反 转 一 次 ， 然 后 将 它们 再 反 转 一 次 。 它 们 最 终 
回 到 开始 的 状态 。) 

当 我 们 知道 一 个 可 逆 函 数 的 法 则 时 ， 有 时 候 可 以 使 用 该 法 则 了 解 函 数 道 的 
意义 。 例 如 ， 图 4. 3 所 描述 的 函数 的 法 则 是 x 卢 x+，xz。 也 就 是 说 ,该 法 则 说 的 
是 将 输入 平方 以 得 到 输出 。 平 方 的 相反 (形式 化 地 ， 是 逆 ) 操作 是 什么 呢 ? 平 
方 根 ! 因此 道 函 数 的 法 则 〈 即 图 4.4 中 的 函数 ) 是 y SYy (在 法 则 中 我 们 使 
用 一 个 不 同 的 变量 y， 这 实际 上 并 没有 什么 影响 )。 

图 4. 6 描述 了 一 个 盟 数 。 描 述 该 函数 的 一 个 法 则 是 zx FP>Z 十 2 rem 6。 该 限 数 将 
0 映射 到 2，1 映射 到 3， 以 此 类 推 。 因 此 顶 数 的 逆 应 该 将 2 映射 到 0， 将 3 映射 到 
1， 等 等 。 道 函数 在 图 4. 7 中 显示 。 描 述 该 逆 函 数 的 一 个 法 则 是 y Fy y 十 4 rem 6。 
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图 4.6 该 函数 的 定义 域 为 {0，1，2，3，4，5}， 法 则 是 过 FPyz 十 2 rem 6 


这 里 有 男 一 个 例子 。 在 图 4. 8 中 描述 了 一 个 因数 。 我 们 可 以 使 用 法 则 zx Fy 
Zz 十 3 rem 6 来 描述 该 阴 数 。 
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图 4.8 该 函数 的 定义 域 为 {0，1，2，3，4，5}， 法 则 是 x Py 工 十 3 rem 6 


该 函数 的 道 是 什么 呢 ? 该 函数 将 0 映射 到 3，1 映射 到 4，2 映射 到 5，…， 
因此 逆 函 数 应 该 将 3 映射 到 0，4 映射 到 1，5 映射 到 2，…。 等 一 下 ， 该 函数 
是 它 自 己 的 逆 ! 


4.2.1 一 对 一 和 映 上 


我 们 已 经 说 过 ， 如 果 一 个 函数 的 每 个 上 域 中 的 元 素 都 恰好 是 定义 域 中 某 一 
个 元 素 的 像 ， 则 该 函数 是 可 逆 的 。 让 我 们 将 这 一 条 件 分 解 成 两 个 条 件 ， 即 一 对 


一 和 映 上 : 
。 一 个 项 数 是 一 对 一 的 ， 如 果 该 函数 上 域 中 的 每 个 元 素 是 定义 域 中 至 多 一 
个 元 素 的 像 。 
。 一 个 函数 是 映 上 的 ， 如 果 该 函数 上 域 中 的 每 一 个 元 素 是 定义 域 中 至 少 一 
个 元 素 的 像 。 


这 些 术语 被 用 来 解释 为 什么 一 个 函数 不 是 可 道 的 。 一 个 不 是 一 对 一 的 函数 
是 不 可 北 的 ， 同 样 ， 一 个 不 是 映 上 的 函数 也 是 不 可 逆 的 。 (一 个 函数 如 果 既 不 


是 一 对 一 的 也 不 是 映 上 的 ， 则 必然 不 是 可 逆 的 。) 
刃 一 方面 ， 这 些 是 一 个 函数 不 可 逆 的 仅 有 的 可 能 原因 。 


可 逆 原 理 ”如 果 一 个 限 数 既是 一 对 一 的 又 是 映 上 的 ， 则 该 限 数 是 可 北 的 。 


4.3 模 算术 函数 


4.3. 1 模 加 和 加 法 逆 元 


图 4. 6 描述 的 函数 可 以 使 用 法 则 x Pz 十 2 rem 6 来 描述 。 它 的 逆 浮 数 由 图 
4.7 描述 ， 可 以 使 用 法 则 y P>y 十 4 rem 6 来 描述 。 
后 一 个 法 则 中 4 是 做 什么 用 的 ? 在 形式 化 的 法 则 中 4 和 2 之 间 有 什么 关系 ? 
答案 体现 在 以 下 同 余 式 中 : 
2 十 4 三 0 (mod 6) 《本 1) 
该 同 余 式 表明 在 模 6 加 法 中 4 扮演 一 2 的 角色 。 的 确 ， 一 2 的 模 6 代表 元 就 
是 4。 鉴于 同 余 式 (4. 1) ， 我 们 说 4 是 2 的 模 6 加 法 送 元 〈 反 之 亦 然 )。 
更 一 般 地 ， 如 果 &“ 和 2 是 满足 以 下 同 余 式 的 整数 : 
4 十 0 三 0 (mod m) 
我 们 说 a 和 464 互 为 模 m 的 加 法 逆 元 。 
考虑 以 下 函数 ， 其 定义 域 是 {0,1,2,…,m 一 1}， 且 由 法 则 x Px 十 a rem 
m 描述 。 如 果 2 是 a 的 模 za 加 法 逆 元 ， 则 逆 函 数 可 以 用 法 则 > Py 十 b rem m 描 
述 〈 可 以 使 用 代 换 原理 来 证 明 )。 


4. 3.2 计算 模 m 加 法 逆 元 


是 不 是 每 一 个 整数 a 都 有 模 m 加 法 逆 元 ”如果 是 这 样 ， 我 们 如 何 找 到 它 ? 
在 这 里 ， 考 虑 常规 的 运算 是 有 帮助 的 。 由 于 5 二 一 a 满足 等 式 a 十 6 二 0， 所 以 当 
然 有 a 二 2 三 0 (mod m)。 因 此 一 a 是 a 的 一 个 模 m 加 法 逆 元 。 一 a 的 模 m 代表 
元 是 mm 一 a。 因 此 6 二 m 一 a 也 是 a 的 一 个 模 m 加 法 逆 元 (并 且 作 为 一 个 代表 元 
更 有 优势 ) 。 


4.3.3 ” 模 乘 和 乘法 送 元 
乘法 的 情况 类 似 , 但 是 稍微 复杂 一 些 。 考 虑 以 下 函数 ， 其 定义 域 是 {1,2， 
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3，…，6) 且 法 则 是 = PI*2 rem 7。 这 个 函数 如 图 4.9 所 示 。 


图 4.9 该 函数 的 定义 域 是 {1,2,3,4,5,6;,， 法 则 是 TXT 上 TT*，2rem7 


这 个 图 数 将 1 上 映射 到 2，2 映射 到 4，3 映射 到 6， 以 此 类 推 。 它 的 逆 函 数 
将 2 映射 到 1，4 映射 到 2，6 映射 到 3， 等 等 。 道 孔 数 如 图 4. 10 所 示 。 
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图 4.10 图 4.9 中 函数 的 道 函 数 


这 个 逆 函 数 可 以 用 水 数 y 卢 y， 4 rem 7 描述 ， 这 是 下 面 同 余 式 的 一 个 
推论 : 
2.4 三 1 (mod 7) (4. 2) 
该 同 余 式 表 明 ，4 在 模 7 乘法 中 扮演 1/2 的 角色 。 鉴 于 同 余 式 〈4. 2) ， 我 们 说 4 
是 2 的 模 7 乘法 逆 元 〈 反 之 亦 然 ) 。 
更 一 般 地 ， 如 果 a 和 2 是 满足 以 下 同 余 式 的 整数 : 
ap 三 1 (modm) 
我 们 说 a 和 2 互 为 模 产 的 乘法 逆 元 。 
在 这 种 情况 下 ,由 zz "arem7 和 >yhFy。poremn7a 摘 述 的 函数 是 相互 
为 逆 的 。( 这 可 以 使 用 代 换 原理 来 证 明 。) 
乘法 逆 元 将 在 以 后 章节 中 要 学 到 的 许多 密码 学 方案 中 扮演 重要 角色 。 


4.3.4 计算 模 7 乘法 逆 元 的 简单 方法 
为 了 找到 其 他 的 模 7 乘法 逆 元 ， 我 们 针对 模 7 代表 元 写 下 模 7 乘法 表 : 
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0 
1 
2 
3 
4 
5 
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OD ON 
> OO NDND WW OW 
co DD OI 
DD PW NA Ol 
ps I Ww Nn SO 





3 MD DY OB YD 
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逐一 搜索 这 个 表 ， 可 以 看 到 : 

。 1 是 它 自 己 的 乘法 逆 元 (1。1 夺 1 (mod 7)); 

。 2 和 4 互 为 乘法 道 元 (2 .4 三 1 (mod 7)); 

。 3 和 5 互 为 乘法 逆 元 (3。，5 夺 1] (mod 7)); 

。 6 是 它 自己 的 乘法 逆 元 (6 .6 圭 1 (mod7))。 

无 疑 这 种 找 乘法 道 元 的 方法 可 以 对 任意 模 xm 使 用 只 要 对 所 有 模 m 的 代表 
元 写 下 模 m 乘法 表 ， 然 后 逐一 搜索 即 可 。 在 第 8 章 ， 我 们 会 学 习 一 种 方法 ， 当 
m 很 大 的 时 候 该 方法 会 更 加 实用 。 


4. 3. 5 ”乘法 逆 元 不 总 是 存在 


现在 考虑 以 下 函数 ， 其 定义 域 是 (1，2，3，4，5} 且 法 则 是 x PP>z。2。 
该 函数 如 图 4. 11 所 示 。 注 意 到 3。2 王 0， 因 此 使 用 这 一 法 则 ， 我 们 必须 把 0 加 
入 到 上 域 中 。 该 函数 是 不 可 逆 的 。( 它 既 不 是 一 对 一 的 ， 也 不 是 上 映 上 的 ,) 这 反 


映 了 2 没有 模 6 乘法 逆 元 的 事实 。 39 | 
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图 4.11 该 函数 的 定义 域 为 {1，2，3，4，5}， 法 则 是 TIT 户 TT*2 rem6 
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逐一 搜索 这 个 表 ， 我 们 发 现 1 是 其 目 己 的 乘法 逆 元 ， 且 5 也 是 其 自己 的 乘 
法 逆 元 ， 但 是 没有 其 他 代表 元 有 乘法 道 元。 你 或 许 会 发 现 这 有 点 令 人 居 讶 。 毕 
竟 ， 在 常规 的 运算 中 ， 对 每 一 个 非 零 数 c， 存 在 一 个 数 8 满足 wa，2 王 1。 (也 就 
是 ，b 王 1/a。) 在 第 8 章 ， 我 们 将 研究 什么 时 候 一 个 整数 才 有 模 乘 法 逆 元 这 个 
问题 。 


4. 4 函数 符号 


数学 家 们 经 常 使 用 名 字 来 指 代 函 数 。“ 嗨 ，Bob!” 不 ， 实 际 上 ， 数 学 家 们 
很 少 使 用 “Bob” 来 指 代 一 个 函数 。 相 反 ， 他 们 使 用 “ f ”来 表示 函数 。 例 如 ， 
一 个 数学 家 可 能 会 说 :“ 令 表示 一 个 函数 ， 其 定义 域 是 {0,1,2,3,4,5), 上 且 
法 则 是 x Px ?， 则 f 是 一 个 一 对 一 函数 。”( 他 们 使 用 稍微 不 同 的 术语 ， 例 如 ， 
“法 则 ”不 是 很 准确 的 数学 用 语 。) 给 函数 命名 以 后 ， 我 们 可 以 表示 与 某 一 特定 
输入 相关 的 输出 。 

为 了 表示 与 3 相关 的 输出 (3 的 像 ) ， 我 们 可 以 写成 f(3)。 因 此 在 这 种 情况 
下 f(3) 的 值 是 9。 由 这 样 简明 的 符号 来 表示 与 某 一 特定 输入 相关 的 输出 是 非 
常 有 用 的 。 

函数 的 逆 函 数 也 有 和 符号。 函数 f 的 逆 函 数 表 示 为 “1!。 例 如 ， 我 们 可 以 将 
f 下 与 输入 9 相关 的 输出 写成 1(9)， 在 这 种 情况 下 是 3。 因 此 在 函数 一 ! 中 
9 映射 到 3。 

当然 ， 数 学 家 们 不 可 能 使 用 相同 的 名 字 “f” 来 指 代 他 们 遇 到 的 所 有 洱 数 ， 
对 不 对 ? 然而 ， 实 际 上 ， 他 们 经 常 这 么 做 。 原 因 是 f 是 某 种 临时 的 名 字 ， 它 经 
常 被 用 来 指 代 与 当前 讨论 相关 的 任何 函数 。 因 此 , 今天 f 可 能 指 的 是 图 4.3 的 
函数 ， 明 天 可 能 指 的 就 是 一 个 完全 不 同 的 函数 ， 其 至 是 一 个 有 不 同 定 义 域 的 函 
数 。 当 然 ， 好 的 数学 表达 需要 清楚 地 表明 所 指 的 是 哪 一 个 函数 。 


区 
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当 数 学 家 们 需要 在 同一 个 讨论 中 表示 多 个 图 数 时 ， 他 们 机 智 地 求助 于 字 
母 g 和 hh 等 (这 并 不 是 数学 创新 能 力 最 好 的 例子 )。 有 时 候 ， 他 们 使 用 一 个 字 
母 和 数字 下 标的 组 合 形 式 来 表示 邑 数 。 因 此 i 可 能 表示 一 个 孔 数 ，f2 可 能 
示 另 一 个 不 同 的 函数 ，fs 是 第 三 个 ， 以 此 类 推 。 使 用 这 种 方式 几乎 不 可 能 用 
完 名 字 。 

这 种 下 标 方案 在 表示 许多 相似 的 孔 数 时 会 起 到 很 大 的 作用 。 例 如 ， 考 虑 
“加 3” 函数 。 有 许多 这 种 形式 的 国 数 :“ 加 1” 函数 ,“ 加 2” 函 数 ,“ 加 4” 郴 
数 ， 等 等 。 一 个 数学 家 立刻 可 以 通过 以 下 方式 定义 所 有 这 些 函 数 。“ 对 每 个 数 
bp， 令 表示 定义 域 为 {0，1，2，3，4，5) 且 法 则 为 x 上 x 十 b 的 函数 。” 现 
在 “加 311” 郴 数 就 可 以 表示 为 f311。 


4.5 项 数 的 使 用 


函数 提供 了 一 种 广泛 应 用 的 术语 和 符号 ， 它 们 的 灵活 性 的 关键 在 于 它们 的 
抽象 性 。 这 里 有 一 些 非 密码 学 例子 (密码 学 例子 以 后 会 给 出 )。 这 些 函 数 中 哪 
些 是 一 对 一 的 ?哪些 是 映 上 的 ? 

。 定义 域 是 布朗 大 学 的 本 科 生 集合 ， 法 则 是 

记 上 3》 让 鸭 了 和 坊 
。 定义 域 是 布朗 大 学 的 本 科 生 集合 ， 法 则 是 
XPx 头 上 的 头发 数目 
。 定义 域 是 布 朋 大 学 的 职员 集合 ， 法 则 是 
XX 的 新 水 
。 定义 域 是 所 有 活着 的 人 ， 法 则 是 
XX 的 母亲 
。 定义 域 是 所 有 商业 音 啊 的 集合 ， 法 则 是 
XX 的 制造 商 

当然 ， 我 们 可 以 很 简单 地 针对 一 个 不 真正 是 函数 的 事物 指定 一 个 定义 域 和 
法 则 。 以 下 哪些 描述 了 哨 数 ? 

。 定义 域 是 布朗 大 学 的 学 生 集 合 ， 法 则 是 

X PX 的 室友 
。 定义 域 是 布朗 大 学 的 学 生 集 合 ， 法 则 是 
Z hz 成 为 一 个 学 生 以 来 的 学 期 数 
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。 定义 域 是 布 妇 大 学 的 学 生 集合 ， 法 则 是 
xX PX 到 目前 为 止 得 到 的 最 好 的 学 期 成 绩 


4.6 一 个 两 输入 函数 : 一 般 化 凯撒 密码 的 加 密 函 数 


到 目前 为 止 我 们 考虑 的 函数 都 是 单 输入 函数 〈 通 党 被 称 为 一 元 函数 ) 。 有 一 
些 概念 〈 不 是 可 逆 羡 数 !) 很 容易 扩展 到 两 输入 函数 。 这 里 我 们 考虑 一 个 很 有 
用 的 例子 ， 即 遍 撒 密码 的 一 个 变 体 的 加 密 孔 数 。 两 个 输入 是 〈1) 明文 和 “2) 
密 钥 ; 输出 是 密 文 。 我 们 可 以 把 它 示 意 性 地 表示 为 

fplaintext symbol ,key)—=cyphertert symbol 

两 个 输入 中 的 每 一 个 都 应 该 是 集合 {0,1,2,3,…,25) 中 的 元 素 ， 且 输出 

也 是 该 集合 中 的 一 个 元 素 。 该 图 数 的 法 则 是 
flplain,key)= plaintkey rem 26 

其 中 我 们 已 经 使 用 plain 和 key 来 取代 xz 和 >y， 目 的 是 提醒 我 们 自己 记 住 这 些 输 
入 的 目的 。 


4. 7 特殊 化 : 将 两 输入 函数 转化 为 单 输入 苑 数 


现在 假设 两 个 参与 方 Alice 和 Bob 已 经 选择 了 一 个 密 铀 ， 如 17， 用 于 加 密 
他 们 的 消息 。 我 们 可 以 定义 一 个 新 的 函数 g 来 表示 使 用 该 密 钥 的 加 密 过 程 。 郴 
数 g 以 {0,1,2,3,…,25) 作为 其 定义 域 和 上 域 。 该 函数 使 用 以 下 法 则 定义 : 

g(plain)=f(plain,17) 

也 就 是 说 ， 我 们 根据 定义 g。g 的 输入 是 明文 ， 输出 是 密 文 。 与 之 相对 
应 的 解密 函数 是 什么 ”我 们 将 g 的 逆 函 数 写成 a “1!。 因 此 g 最 好 是 可 逆 的 。 

如 果 不 是 引入 一 个 新 的 名 字 g 来 表示 带 密 钥 17 的 加 密 函 数 ， 我 们 可 能 会 使 
用 下 标 ， 即 fiey=17 来 表示 该 加 密 函 数 。( 相 同 的 函数 ， 用 不 同 的 方式 命名 它 ,) 

通过 将 两 输入 函数 中 的 某 一 个 输入 固定 ， 从 而 得 到 一 个 单 输入 函数 ， 这 种 
方式 有 时 候 被 称 为 特殊 化 。 

如 果 对 每 个 可 能 的 密 钥 有 &，fiy=4(plain) 是 一 个 可 逆 函 数 ， 我 们 说 加 密 画 
数 f(plain，key) 满足 唯一 解密 性 。 

注意 到 ， 我 们 可 以 使 用 另外 一 种 方式 特殊 化 函数 f， 即 选择 一 个 明文 符号 
(比如 使 用 2 来 表示 “c”) 而 不 是 一 个 密 钥 。 也 就 是 说 ， 我 们 可 以 使 用 以 下 法 则 
来 定义 函数 h: 


h(key)= f(2,key) 
也 数 的 输入 是 一 个 密 钥 ， 输 出 是 使 用 该 密 钥 对 “c” 的 加 密 值 。 该 函数 的 
用 处 显然 不 如 函数 g， 但 是 我 们 稍 后 会 看 到 它 为 什么 在 评估 一 个 密码 系统 的 安 
全 性 时 是 有 用 的 。 
让 我 们 来 看 一 个 特殊 化 的 简单 例子 。 我 们 从 一 个 摘 述 两 输入 限 数 的 表格 
开始 : 
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4.8 思考 题 


1. 凯撒 密码 的 加 密林 数 看 起 来 像 f (plain,key) 二 (plain 十 key)rem 26。 令 
gl(cyph,key) 为 解密 困 数 。 也 就 是 说 ， 针 对 一 个 密 文 cyph，g(cyph,key) 是 
相对 应 的 明文 符号 。 给 出 函数 g 的 法 则 。(g(cyph,key) 王 …?) 
2. 针对 以 下 每 个 图 示 ， 说 明 其 是 否 是 一 个 函数 。 


(a) 定义 域 (b) 定义 域 





(c) 定义 域 上 域 (d) 定义 域 上 域 





4. 考虑 问题 3 中 描述 的 函数 。 
(a) 给 出 函数 3(a) 的 道 函数 的 法 则 。 
| 45 (b) 给 出 函数 3(b) 的 逆 函 数 的 法 则 。 
5. 分 别针 对 以 下 图 示 中 所 描述 的 函数 ， 给 出 一 个 法 则 : 


(a) 定义 域 上 域 (b) 定义 域 上 域 


十 
vA 


(0) 定义 域 上 域 (d) 定义 域 上 域 


Wy 
XA 





6. 考虑 问题 5 中 的 图 示 。 针 对 每 一 个 函数 ， 如 果 逆 函数 存在 ， 给 出 其 法 则 ;如 
果 逆 函数 不 存在 ， 解 释 为 什么 。( 一 对 一 和 映 上 的 概念 在 这 里 可 能 会 有 用 。) 
7. 考虑 以 下 函数 ， 其 定义 域 和 上 域 为 (0，1，2，3，4，5，6，7，8}。 针 对 以 

下 每 一 个 法 则 ， 给 出 其 逆 函 数 的 法 则 。 
(a) ZX > 式 十 1 rem 9 
(b) xz Pr2 rem 9 
(c) xX rT3 rem 9 
(d) xX 上 工 十 6 rem 9 
(e) XT PAO rem 9 
8. 准备 两 个 模 乘 法 表 ， 一 个 的 模 数 是 11， 另 一 个 的 模 数 是 15。 使 用 你 的 表格 ， 
寻找 以 下 指定 元 素 的 乘法 逆 元 。 对 其 中 每 个 元 素 ， 如 果 没 有 乘法 逆 元 ， 验 证 
你 的 答案 。 
(a) 5 的 模 11 乘法 逆 元 
(b) 4 的 模 15 乘法 逆 元 
(c) 5 的 模 15 乘法 道 元 
(d) 11 的 模 11 乘法 逆 元 
(Ce) 3 的 模 15 乘法 逆 元 
9. 下 面 我 们 使 用 一 个 表格 来 描述 一 个 带 有 两 输入 xz 和 yy 的 函数 。 你 的 工作 是 依 
次 对 工 取 一 个 值 ， 将 那个 值 代 人 ， 并 获得 一 个 单 输入 函数 。 
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填写 以 下 图 示 中 的 箭头 ， 以 此 得 到 适当 的 单 输入 函数 图 。 


x=0 x=1 
oilole 


10. 我 们 已 经 讨论 了 一 个 密码 系统 如 何 被 描述 成 一 个 两 输入 函数 。 也 就 是 说 ， 
f(plain,key) 二 cyph。 正 如 我 们 在 第 4 章 中 所 言 ， 可 以 固定 或 者 密 钥 或 者 明 
文 输入 ， 并 针对 该 固定 输入 的 所 有 可 能 值 ， 构 造 单 输入 的 盟 数 。 

(a) 考虑 以 下 两 输入 函数 表 ， 其 描述 了 一 个 密码 消 数 ， 该 函数 加 密 的 字符 
来 源 于 一 个 只 有 三 个 字符 的 字母 表 。 也 就 是 说 ， 明 文 和 密 文 都 是 0，]1 
或 2。 





将 明文 输入 作为 固定 变量 ， 并 填写 所 提供 的 单 输入 函数 图 ， 这 样 就 得 
到 该 函数 的 一 个 完整 摘 述 。 


明文 一 0 明文 =1 明文 二 2 
密 文 密 钥 密 文 密 钥 密 文 


(b) 想象 一 下 你 是 Eve， 你 看 到 了 一 个 由 Alice 传送 的 使 用 上 面 描述 的 加 密 


盟 数 加 密 的 密 文 。 该 密 文 是 2。 给 定 该 信息 ， 其 中 有 一 个 明文 是 不 可 
能 的 。 是 哪 一 个 ? 

11. 现在 我 们 将 使 用 一 个 法 则 来 描述 一 个 加 密 方案 ， 并 像 在 上 一 个 题目 中 一 样 
做 相同 的 分 析 。 为 了 使 事情 不 复杂 ， oa 其 被 设计 用 来 
加 密 从 一 个 非常 小 的 字母 表 中 选择 的 字符 。 再 一 次 想象 一 下 我 们 将 加 密 以 
下 三 个 可 能 明文 : 0，1 或 2。 就 像 山 撒 密 码 ， ER 1 或 2 中 选择 一 
个 密 钥 ， 并 把 它 加 到 明文 中 去 。 然 而 ， 在 这 系统 中 ， 我 们 将 做 模 4 加 法 。 
因此 ，f (plain,key)= plaintkey (mod 4) 。 

(a) 针对 这 一 加 密 函 数 制作 一 个 两 输入 卫 数 表格 。 





(b) 使 用 与 上 面相 同 的 方法 ， 将 该 函数 描述 为 一 个 单 输入 函数 的 集合 ， 其 
中 对 每 一 个 函数 ， 其 明文 输入 被 固定 。 





(c) 现在 想象 一 下 你 是 Eve， 而 且 你 注意 到 了 一 个 密 文 3， 它 可 能 是 由 哪个 
明文 加 密 得 来 ? 
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5.1 实验 结果 


考虑 一 个 依赖 于 偶然 性 的 实验 ， 这 个 实验 不 依赖 于 任何 未 知 的 因素 。 关 于 
实验 结果 ， 我 们 能 说 什么 ?” 如果 我 们 真正 进行 了 这 个 实验 ， 则 能 准确 地 说 出 发 
生 了 什么 ， 但 是 在 实验 进行 之 前 ， 我 们 能 说 什么 ?我 们 希望 能 给 出 的 最 好 描述 
是 每 一 个 可 能 结果 的 可 能 性 。 这 样 的 描述 被 称 为 概率 分 布 。 概 率 论 就 是 关于 可 
能 性 的 推理 方法 。 

考虑 掷 一 粒 观 子 ， 有 6 个 可 能 的 结果 〈 不 包括 像 “ 货 子 滚 落 桌 下 ”等 古怪 
的 事情 ) 。 我 们 隐 式 地 假设 一 次 实验 的 结果 是 相互 排斥 的 ， 也 就 是 每 次 执行 实 
验 只 能 产生 一 个 结果 。 

可 能 的 结果 如 图 5. 1 所 示 。 





图 5.1 撕 一 个 角 子 的 概率 空间 


可 能 结果 的 集合 被 称 为 样本 空间 ， 也 被 称 为 概率 空间 。 


5.2 结果 的 概率 


我 们 为 6 个 实验 结果 中 的 每 一 个 实验 结果 指定 一 个 数字 表示 它 的 概率 ， 由 


此 来 描述 相关 结果 的 可 能 性 。 例 如 ， 如 果 一 个 实验 结果 发 生 的 可 能 性 是 另 一 个 
第 宋 的 两 倍 ， 我 们 指定 第 一 个 结果 的 概率 是 第 二 个 结果 概率 的 两 倍 。 

某 些 约定 支配 着 我 们 用 作 概 率 的 数字 。 一 个 实验 结果 的 可 能 性 是 另 一 个 实 
验 结果 可 能 性 的 一 1 倍 是 没有 意义 的 ， 所 以 要 求 概率 是 一 个 非 负数 字 。 我 们 用 
概率 为 0 来 对 应 不 可 能 发 生 的 事件 ， 即 一 个 永远 不 会 发 生 的 实验 结果 的 概率 被 
赋值 为 0。 我 们 用 概率 为 1 来 对 应 必然 事件 ， 即 一 个 总 是 发 生 的 实验 结果 的 概 
率 被 赋值 为 1。 在 一 个 典型 的 实验 中 ， 每 个 实验 结果 的 概率 是 一 个 大 于 0 小 于 1 
的 数字 。 

这 里 有 一 个 解释 我 们 实验 结果 概率 的 方法 。 如 果 你 准确 地 执行 同一 个 实验 
数 千 次 ， 则 某 个 可 能 实验 结果 的 概率 是 关于 这 个 实验 结果 出 现 次 数 的 比例 的 最 
好 估计 。 例 如 ， 假 设 我 们 掷 一 粒 仍 子 1000 次 ， 对 掷 出 2 点 的 次 数 的 最 好 估计 是 
1000 的 1/6。 在 这 个 实验 中 ， 掷 出 2 点 的 概率 是 1/6， 可 以 写作 

Prob[ .|] = 1/6 

类 似 地 ， 对 其 他 的 实验 结果 : 

Prob[| * |] = 1/6，Prob[ .由 = 1/6, Prob[l 省 = 1/6, 


Prob[le*:|] = 1/6, Prob[l: $|] = 1/6 
形式 化 地 ， 实 验 结果 的 概率 由 一 个 图 数 〈 不 妨 叫 作 p)〉 表示 ， 它 的 定义 域 
是 样本 空间 ， 上 域 是 0 与 1 之 间 所 有 数字 的 集合 。 
5.3 绘制 概率 分 布 图 


使 用 条 状 图 来 总 结 不 同 实验 结果 的 概率 通常 是 有 用 的 。 沿 着 横 坐 标 列 出 所 
有 可 能 的 实验 结 采 ， 而 纵 坐 标 标明 了 概率 值 。 
一 个 钥 子 上 扣 数 的 概率 分 布 如 图 5. 2 所 示 。 
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0 


图 5.2 撕 一 粒 骨 子 的 概率 分 布 
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5.4 实验 结果 集合 的 概率 


得 到 一 个 偶数 的 概率 是 什么 ?基于 概率 论 ， 为 了 找到 某 几 个 实验 结果 发 生 
的 概率 ， 可 以 把 这 些 实验 结果 的 概率 加 起 来 。 因 此 得 到 | |、 ,| 或 引 的 概率 是 
:0 116 二 L716 

我 们 可 以 通过 类 似 的 推导 得 到 。|、 .|、 忆 .| 、[ :、| :| 或 引 的 概率 是 

A 

也 就 是 1。 这 是 可 以 预料 的 ， 因 为 6 个 面 之 一 向 上 是 必然 发 生 的 (没有 其 他 可 
能 的 实验 结果 )。 一 般 地 ， 如 果 把 一 个 实验 所 有 可 能 结果 的 概率 相 加 ， 你 最 好 
得 到 1。 


5.5 小 结 


实验 可 能 的 实验 结果 是 互 斥 的 (不 可 能 同时 得 到 两 个 结果 )。 

可 能 的 实验 结果 的 列表 必须 是 详尽 无 遗 的 。 当 进行 实验 时 ， 列 表 中 的 结 
果 必 有 一 个 出 现 S 。 

每 个 可 能 的 实验 结果 有 一 个 概率 ， 它 是 一 个 0 与 1 之 间 的 数 。 

对 任意 可 能 实验 结果 的 集合 ， 可 以 计算 这 个 集合 成 员 发 生 的 概率 : 将 每 
个 单独 实验 结果 的 概率 相 加 。 

所 有 实验 结果 的 概率 之 和 必须 等 于 1。 


5.6 均匀 分 布 


可 以 使 用 最 后 一 个 事实 来 决定 某 个 实验 的 概率 。 假 设 有 & 个 实验 绪 采 ， 所 
有 的 实验 结果 都 是 等 可 能 的 〈 就 像 在 据 骨 子 的 情况 下 ,二 6)。 应 该 如 何 指派 
概率 值 呢 ? 我 们 必须 为 每 个 实验 结果 赋 相 同 的 概率 值 ， 不 妨 用 变量 x 表示 这 个 
未 知 的 概率 值 。 因 为 所 有 这 些 实验 结果 的 概率 之 和 必须 等 于 1， 于 是 有 
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Xx 十 Xx 十 "…z 二 二 1 


昌 有 时 这 是 一 个 真实 实验 在 数学 上 的 理想 化 。 在 一 个 现实 撕 币 实验 中 ， 骨 子 深 落 果子 (或 者 便 
币 立 起 来 ， 不管 什 么 ) 是 可 能 发 生 的 ， 但 是 在 概率 空间 里 ， 通 常 不 把 这 些 可 能 性 作为 实验 


十 
结果 。 


也 器 是 ，kzx 二 1。 解 出 +， 我 们 得 到 z 一 1/R。 因 此 每 个 实验 结果 的 概率 是 1/k。 
一 个 所 有 实验 结果 概率 相等 的 概率 分 布 称 为 均匀 概率 分 布 〈 经 常 只 称 之 为 
均匀 分 布 ) 。 我 们 考虑 另 一 个 实验 : 掷 两 粒 货 子 。 
有 36 种 可 能 的 实验 结果 (图 5.3)， 所 有 结果 都 是 等 可 能 的 。 因 此 每 个 可 
能 实验 结果 的 概率 都 是 1/36。 这 是 另 一 个 均匀 概率 分 布 的 例子 。 


Bs 
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图 5.3 


5.7 随机 变量 


我 们 经 党 要 从 一 个 实验 的 实验 绪 果 进行 大 量 的 推导 。 例 如 ， 在 掷 两 粒 货 子 
的 情况 下 ， 我 们 经 党 对 据 出 骨 子 的 点 数 总 和 感 兴趣 。 我 们 使 用 随机 变量 的 概 
念 。 可 以 把 随机 变量 想 成 一 个 变量 ， 如 XX， 它 的 值 依赖 于 一 个 实验 的 实验 结果 。 
在 两 粒 货 子 的 情况 下 ， 例 如 ， 可 以 说 :“ 令 X 表 示 掷 两 粒 山 子 之 后 的 点 数 之 和 。 
X 等 于 5 的 概率 是 多 少 ?” 我 们 可 以 按 如 下 所 示 ， 通 过 实验 可 能 的 结果 来 计算 这 
个 概率 。 (注意 我 们 使 用 “Prob [LX=5]j” 作 为 “X 等 于 5 的 概率 ”的 数学 表 
达 式 。) 
Prob[X 一 5] 一 Prob[|。j|。 :| 或 者 :| 或 者 [或 者 5 站 
二 Prob[| 。| |] 十 Prob[| ,| wl 十 Prob[|., 中 十 Prob[ | | 


et 
36 


这 里 有 另外 一 个 计算 。X 至 少 为 10 的 概率 是 多 少 ? 
Prob| 六 10|]=Prebl 半 = 1] 或 者 时 二 二 或 者 广 二 121 
一 Prob| X = 101+ Probl X = 11 |] 二 Probl X = 12|] 


i 
—361361 36 36 
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一 Prob[ :| 引 或 者 [| 或 者 E 站 | ] 
十 Prob[[E 相 区 引 或 者 EE 中 十 Prob[ 开 引 民 下 


8 
36 1 36 1 36 36 


X 的 概率 分 布 如 图 5. 4 所 示 。 





图 5.4 XX 的 概率 分 布 


5.7.1 基于 另 一 个 随机 变量 定义 随机 变量 


我 们 可 以 按照 之 前 定义 的 随机 变量 来 定义 一 个 新 的 随机 变量 。 令 YY 一 (X 一 
7) 2 。 这 里 有 一 个 关于 X 和 YY 的 值 的 表格 。 


| 


‘DO 0 和 A I WwW VV 


9 
4 
1 
0 
1 
4 
9 


| 一 | 一 
bp OO 
= 
ON 





— 
[BS 
[I 
ON 


注意 到 ， 例 如 X 有 两 个 值 2 和 12， 对 应 的 Y 值 都 是 25。 因 此 Y 等 于 25 的 
概率 是 X 等 于 2 或 12 的 概率 。 由 于 ProbLX 王 2] 等 于 1/36，ProbLX 王 12」 也 
等 于 1/36， 可 以 得 出 ProbLY=25] 等 于 1/36 十 1/36。 

Y 的 概率 分 布 如 图 5. 5 所 示 。 





图 5.5 YY 的 概率 分 布 | 54 | 


5.7.2 随机 变量 的 形式 化 数学 定义 


形式 化 地 ， 一 个 随机 变量 既 不 随机 也 不 是 一 个 变量 你们 上 自己 讨论 )， 它 是 
一 个 定义 域 为 样本 空间 的 明 数 。 

因此 ， 随 机 变量 X 〈 掷 两 粒 货 子 之 后 的 点 数 之 和 ) 事实 上 是 图 5.6 刻画 的 
一 个 函数 9 。 





5.6 随机 变量 X， 掷 两 粒 山 子 之 后 的 点 数 之 和 的 函数 


基于 函数 的 推理 可 被 用 于 基于 随机 变量 的 推理 ， 反 之 亦 然 。 我 们 使 用 这 类 
推理 与 加 密 郴 数 相关 联 。 


日 “我们 不 真正 关心 这 个 函数 的 上 域 是 什么 ， 在 这 个 图 中 只 画 出 了 值 域 ， 也 就 是 能 够 成 为 这 个 函数 
的 像 的 那些 元 素 的 集合 。 然 而 ， 在 5. 7. 3 节 中 ， 我 们 将 看 到 为 什么 有 时 上 域 也 有 影响 的 原因 。 
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5.7.3 随机 变量 的 均匀 分 布 


我 们 回 到 掷 一 粒 货 子 的 实验 。 令 Z 是 掷 过 之 后 货 子 点 数 模 3 的 代表 元 ， 则 Z 是 
一 个 随机 变量 ， 目 Prob[ Z= 二 0 |==1/3，Prob[ Z= 二 1 |] 二 1/3，Prob[LZ 二 2] 二 1/3。Z 的 
概率 分 布 是 不 是 一 个 均匀 分 布 ? 好 ， 这 是 有 条 件 的 ， 可 以 用 不 同 的 方法 来 描述 
2 环 7 


3/3 3/3 
2/3 2/3 


1/3 1/3 


Prob[Z=0] Prob[Z=1] Prob[Z=2] Prob Prob Prob Prob Prob Prob Prob 
[Z=0][Z2=H[IZ=2][LZ=3][Z=4]LZ=5]LZ=0] 


图 5.7 描述 随机 变量 Z 的 不 同方 法 


我 们 必须 清楚 ， 一 个 随机 变量 是 否 被 认为 是 一 个 均匀 分 布依 赖 于 我 们 打算 
考虑 其 概率 的 值 。 也 就 是 说 ， 人 们 可 以 通过 加 上 一 些 概率 为 0 的 值 〈 随 机 变量 
不 可 能 取 那 些 值 ) 来 声明 概率 分 布 不 是 均匀 的 〈 因 为 还 有 些 其 他 值 具有 非 零 的 
概率 )。 因 此 ， 在 决定 一 个 随机 变量 是 否 是 均匀 分 布 时 必须 多 加 一 点 小 心 。 我 
们 将 用 两 种 方法 来 处 理 这 些 情况 。 

首先 ， 记 住 一 个 随机 变量 是 一 个 定义 域 为 样本 空间 的 函数 。 作 为 一 个 函数 ， 
它 有 一 个 上 域 。( 同 样 回忆 上 域 中 可 能 存在 一 些 值 不 在 值 域 中 ， 这 些 值 发 生 的 
概率 为 0。) 为 了 描述 随机 变量 的 概率 分 布 ， 在 某 些 场合 中 ， 考 虑 上 域 中 所 有 元 
素 的 概率 是 有 理由 的 ， 因 此 我 们 可 以 说 ， 当 所 有 上 域 中 元 素 的 概率 均 相 同时 ， 
随机 变量 是 均匀 的 。 

一 个 更 安全 的 解决 方案 是 : 当 讨 论 一 个 随机 变量 的 分 布 是 否 均 匀 的 时 候 ， 
我 们 必须 精确 地 指明 哪个 值 的 集合 是 被 考虑 的 。 为 此 ， 我 们 说 “在 S 上 均匀 分 
布 ” 来 代替 “均匀 分 布 ”， 其 中 S 是 被 考虑 的 值 的 集合 。 

通常 ， 我 们 要 清楚 将 术语 “均匀 ”用 于 随机 变量 的 概率 分 布 有 一 点 模糊 。 
这 些 问 题 在 分 析 密 码 系统 的 安全 性 时 将 会 出 现 。 


5.8 思考 题 
1. 判断 下 面 的 每 一 个 图 是 否 表 示 一 个 正确 的 概率 分 布 ， 如 果 是 ， 指 出 它 是 均匀 分 








布 还 是 非 均 匀 分 布 。 
(a) 3/9 (b) 4/4 
3/4 
2/9 
2/4 
1/9 1/4 
4 5 6 雨 雪 冰雹 睛 
(c)3/9 (d) 5/5 
4/5 
2/9 
3/5 
ji 2/5 
1/5 
0 1 光 党 本 入 洛 红 桃 ” 黑 桃 ” 方 片 ”梅花 


2. 考虑 一 粒 5 面 的 货 子 。 
(a) 掷 这 种 货 子 的 可 能 值 的 集合 是 从 1 到 5 的 整数 。 画 出 这 个 可 能 值 的 集合 
的 概率 分 布 图 ， 并 在 坐标 轴 上 标 出 这 些 值 。 


概率 


货 子 的 点 数 


(b) 这 是 一 个 在 这 些 可 能 值 集合 上 的 均匀 分 布 吗 ? 
3. 现在 考虑 两 粒 5 面 的 山子 。 
(a) 如 果 你 拨 了 这 两 粒 骨 子 ， 那 么 它们 的 点 数 之 和 的 可 能 值 是 什么 ? 
(b) 画 出 这 个 可 能 值 的 集合 的 概率 分 布 图 ， 并 在 坐标 轴 上 标 出 这 些 值 。 不 要 
在 图 上 放 人 任何 概率 为 0 的 值 。 


加 


c 
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货 子 的 点 数 之 和 


(c) 这 是 一 个 在 实验 (a) 中 的 可 能 值 集合 上 的 均匀 分 布 吗 ? 
4. 现在 考虑 下 列 加 密 艺 数 表 。 这 个 加 密 兄 数 被 设计 用 于 加 密 1 或 者 0。 


密 角 
01112413| 
明文 | 0 | 1 11|0| 
lo 


通过 对 明文 特殊 化 得 到 对 应 的 单 输 入 也 数 如 下 : 





(a) 想象 一 个 实验 ， 在 这 个 实验 中 ， 密 钥 是 被 随机 均匀 选择 的 。 令 随机 变量 
A 是 对 明文 0 的 加 密 ， 画 出 A 的 概率 分 布 图 。 


(b) 令 随 机 变量 B 是 对 明文 1 的 加 密 ， 画 出 B 的 概率 分 布 图 。 


prob[ 密 文 ] 


prob[ 密 文 ] 
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5. 考虑 下 列 解密 轴 数 表 : 





(a) 在 下 列 孔 数 图 上 填 入 第 头 ，3 


殊 化 : 
密 文 二 0 密 文 二 1 密 文 一 2 
密 甸 明文 密 钥 明文 密 钥 明文 


(b) 令 密 钥 是 在 集合 {0，1，2} 上 按照 均匀 分 布 随机 选取 的 。 
i. 令 A 是 使 用 随机 密 钥 对 密 文 0 的 解密 ， 画 出 A 的 概率 分 布 图 。 


密 文 =0 


Prob[ 明 文 ] 


明文 0 | 
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ii. 令 BB 是 对 密 文 1 的 解密 ， 画 出 于 的 概率 分 布 图 。 


密 文 一 1 
以 
定 
和 二 
明文 


ii 令 C 是 对 密 文 2 的 解密 ， 画 出 C 的 概率 分 布 图 。 


密 文 二 2 


Prob[ 明 文 ] 


明文 


By 
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A _ Cryptography Primer: Secrets and Promises 


完美 保密 与 完美 安全 的 密码 系统 





数学 家 克 劳 德 。 香农 〈Claude Shannon) 第 一 次 形式 化 地 定义 了 完美 保密 的 
概念 ， 并 展示 了 一 个 特定 的 密码 系统 以 实现 完美 保密 性 。 我 们 没有 涉及 香农 全 
部 的 理论 知识 ， 而 是 重点 关注 与 密码 学 研究 直接 相关 的 一 部 分 ， 这 一 部 分 所 依 
赖 的 数学 知识 在 本 门 课 程 范围 之 内 。 

在 这 一 章 我 们 讨论 怎么 判断 一 个 密码 系统 是 否 满足 完美 保密 性 。 在 第 7 章 
我 们 讨论 使 用 完美 保密 的 更 多 方法 。 通 过 这 些 内 容 ， 读 者 将 更 加 清楚 : 为 什么 
大 多 数 密码 体制 更 多 地 使 用 模 运 算 ， 而 不 是 传统 的 算术 运算 。 

我 们 将 看 到 ， 一 个 密码 系统 的 完美 保密 性 和 唯一 解密 性 在 数学 上 是 一 对 表 
亲 关 系 。 一 个 密码 系统 可 能 是 唯一 解密 的 ， 但 是 不 满足 完美 保密 性 ， 反 之 亦 


然 。 然 而 ， 决 定 一 个 密码 系统 是 否 满足 完美 保密 性 与 决定 它 是 否 是 唯一 可 解密 
的 数学 原理 极其 相似 。 


6.1 窃听 者 能 够 从 密 文中 获得 什么 


一 个 密码 系统 是 完美 保密 的 ， 如 果 神 听 者 从 密 文 中 得 不 到 关于 明文 的 任何 
言 息 。 因 此 ， 为 了 理解 什么 样 的 密码 系统 是 安全 的 ， 我 们 要 考虑 “得 到 某 些 信 
恩 ” 征 什么 含义 。 

为 此 ， 我 们 考虑 一 个 非常 简单 的 场景 。Alice 各 Bob 发 送 一 条 加 密 后 的 消 
上 乱 ，Eve 镭 听 到 它 ( 目 前 ， 我们 忽略 Bob 使 用 相同 的 密码 系统 甚至 相同 的 密 钥 
回复 的 可 能 性 )。 为 了 了 解 Eve 从 密 文 中 获得 了 什么 ， 我们 考虑 她 在 得 到 密 文 之 
前 所 了 人 解 到 的 明文 信息 (她 的 先 验 知识 ) 和 得 到 密 文 之 后 所 了 解 到 的 明文 信息 
(她 的 后 验 知 识 )。 因 为 我 们 不 希望 密码 系统 的 安全 性 取决 于 Eve 拥有 什么 样 的 
知识 ， 所 以 想 要 建立 一 个 关于 “Eve 了 解 到 什么 ”的 一 般 模 型 。 假 设 Eve 拥有 
一 个 Alice 可 能 发 送 的 所 有 明文 的 列表 〈 可 能 是 一 个 隐 含 的 列表 ) 。 另 外 ， 对 于 
每 个 可 能 的 明文 ，Eve 分 配 一 个 正 数 来 表示 这 个 可 能 的 明文 是 真正 明文 的 可 能 
性 有 多 大 。 换 言 之 ，Eve 知道 真实 明文 的 概率 分 布 。 


62 | 


58 锚 6 蝎 


当然 ， 在 现实 中 ， 明 文 的 选择 通常 不 是 随机 的 。Allice 通常 有 一 个 非常 特 
别 的 消息 想 要 发 送 给 Bob。 然 而 ， 我 们 现在 从 Eve 的 视角 研究 这 个 场景 。 对 于 
她 来 说 ， 明 文 是 不 可 预测 的 ， 就 像 它 是 被 随机 挑选 的 一 样 。 因 此 就 数学 而 言 ， 
Eve 认为 Alice 按照 某 个 特定 的 概率 分 布 随机 挑选 明文 。 

原则 上 ，Eve 关于 明文 的 先 验 知识 可 以 用 任何 概率 分 布 来 表示 。 然 而 ， 为 
了 简单 起 见 ， 我 们 通常 假设 它 是 在 某 个 子 集 上 的 均匀 分 布 。 


例 1 在 看 到 密 文 之 前 ，Eve 知道 明文 是 一 个 美国 的 电话 号 码 ， 因 此 由 10 
位 数字 组 成 。 在 这 种 情况 下 ， 她 的 先 验 知识 可 能 是 对 每 个 10 位 的 数字 分 配 相 同 
的 概率 。 

如 果 Eve 还 有 一 点 小 聪明 ， 她 可 能 会 有 关于 明文 更 精确 的 模型 。 例 如 ， 她 
可 以 只 考虑 那些 前 三 位 数字 可 以 形成 有 效 区 号 的 10 位 数 。 在 这 种 情况 下 ， 她 的 
(明文 ) 概率 分 布 是 在 这 个 数字 集合 上 的 均匀 分 布 : 所 有 这 种 10 位 数 被 赋予 相 
同 的 概率 ， 其 他 数 的 概率 被 赋值 为 0。 加 


例 2 有 一 个 历史 性 例子 ， 我们 考虑 它 的 变 体 。Eve 可 能 提前 知道 明文 要 么 
是 0 要 么 是 1 (0 表示 英国 计划 在 陆地 上 发 动 攻击 ，1 表示 从 海洋 发 动 攻击 )。 
基于 她 对 英国 军事 策略 的 了 解 ，Eve 可 能 会 认为 在 陆地 上 发 动 攻击 更 有 可 能 。 
在 这 种 情况 下 ， 她 可 能 赋予 陆地 攻击 2/3 的 概率 ， 海 洋 攻 击 的 概率 为 1/3。 国 


Eve 关于 明文 的 后 验 知识 呢 ? 也 就 是 说 ， 看 到 密 文 之 后 ， 她 了 解 到 什么 ? 
记 住 我 们 假设 Eve 知道 Alice 和 Bob 使 用 的 密码 系统 (但 她 不 知道 密 钥 )。Eve 
知道 存在 某 个 密 钥 可 以 解密 密 文 产生 明文 。 有 时 这 可 以 提供 一 些 关 于 明文 的 额 
外 信息 。 


例 1a 假设 正在 使 用 的 密码 系统 是 加 法 密码 ， 其 中 分 组 长 度 是 五 位 数 。 在 
这 种 情况 下 ， 模 数 是 10;， 密 钥 是 五 位 数字 。 假 设 截获 到 的 两 个 密 文 分 组 是 
37491.……: 92722。Eve 知道 每 个 美国 区 号 的 第 二 位 数字 是 0 或 1 (这 一 般 是 正 
确 的 ) 。 通 过 检查 第 一 个 密码 分 组 的 第 二 位 数 ， 她 可 以 推断 出 密 钥 的 第 二 位 数 
是 5，6 或 7。 然 后 再 检查 第 二 个 密 文 分 组 的 第 二 位 数 ， 她 可 以 推断 出 第 二 个 明 
文 分 组 的 第 二 位 数 是 4，5，6 或 7。 在 获得 密 文 之 前 ， 她 不 知道 这 些 信 息 ， 因 
此 她 至 少 可 以 从 密 文中 得 到 一 点 点 明文 信息 。 下 


现在 我 们 考虑 任意 的 密码 系统 。 令 g(cyphertert,key) 是 解密 函数 ,假设 5 


是 系统 所 允许 的 最 大 密 钥 (也 就 是 ， 密 钥 是 0 到 2 之 间 的 任意 数 ) 。 假 设 Eve 获 
得 了 密 文 ， 用 字母 c 表示 密 文 。 那 么 她 可 以 推断 出 明文 是 下 面 中 的 一 个 : 

Sg(cr QO ges I) gtr 2D) yy" ,ptesb) 
她 可 以 将 这 些 信 息 与 先 验 知识 结合 起 来 ， 从 而 进一步 缩小 可 能 的 答案 集合 。 


例 3 假设 可 能 的 密 钥 有 10” 个 。 在 这 个 例子 中 ， 我们 不 指明 密码 系统 。 
假设 Eve 知道 明文 是 一 个 长 度 为 75 的 英文 句子 。 大 概 有 25 个 这 种 句子 。 她 的 
关于 明文 的 先 验 知识 用 一 个 概率 分 布 来 表示 ， 这 个 分 布 是 在 所 有 这 种 句子 上 的 

现在 她 知道 密 文 是 7856…03457 〈 某 个 特定 的 150 位 数 )。 有 多 少 对 明文 的 
猜测 与 她 的 先 验 知 识 和 密 文 知识 一 致 ? 答案 取决 于 密码 系统 和 特定 的 密 文 ， 但 
是 一 个 好 的 猜想 是 非常 少 的 。 在 对 密 文 的 所 有 可 能 的 解密 中 ， 只 有 1 个 或 2 个 
或 10 个 或 很 少 个 是 英文 文本 。 想 象 一 下 Eve 试 了 所 有 可 能 的 密 钥 ， 并 用 以 解密 
密 文 ， 丢 奔 不 是 英文 文本 的 结果 ， 结 束 后 ， 她 只 保留 了 很 少 的 可 能 结果 。 如 此 
一 来 ， 在 这 个 例子 中 ， 她 可 以 从 密 文中 获得 大 量 关 于 明文 的 信息 。 


一 个 复杂 的 公式 可 以 将 Eve 关于 明文 的 后 验 知识 表示 成 一 个 概率 ， 这 个 概 
率 与 Eve 的 先 验 知 识 和 她 截获 的 密 文 有 关 。 这 个 公式 使 用 了 贝 叶 斯 定理 来 帮助 
进行 收集 知识 的 概率 计算 。 我 们 不 会 探究 这 个 公式 。 对 于 我 们 来 说 ， 一 个 重要 
的 特殊 情形 是 Eve 关于 明文 的 先 验 知 识 用 在 某 个 集合 S 上 的 均匀 分 布 来 表示 。 
在 这 种 情况 下 ，Eve 获得 密 文 后 ， 其 关于 明文 的 后 验 知识 是 在 集合 S 与 密 文 所 
有 可 能 解密 结果 集合 (也 就 是 通过 实验 所 有 可 能 密 钥 得 到 的 集合 g(c,0)，,g(c， 
站,… ) 的 交集 上 的 均匀 分 布 。 


6.2 密码 系统 的 评估 


从 Eve 的 视角 人 研究 过 问题 之 后 ， 现 在 我 们 转向 一 个 虚构 的 组 织 的 视角 看 待 
问题 。 这 个 被 称 作 NSO (No Such Organization) 的 虚拟 组 织 正 在 推荐 采用 的 密 
码 系 统 。NSO 试图 保证 : 如 果 密 码 系统 被 正确 使 用 ， 它 将 是 完美 保密 的 ， 窃 听 
者 Eve 从 密 文中 得 不 到 任何 信息 。 

假设 我 们 正在 评估 一 个 密码 系统 ， 其 可 能 的 密 钥 是 0 到 s 之 间 的 整数 ， 可 
能 的 明文 集合 是 0 到 1 之 间 的 整数 ， 加 密 函 数 是 f (clear,key)。 
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NSO 指定 密 钥 是 在 所 有 可 能 密 钥 集合 上 均匀 随机 选取 的 。 为 了 分 析 ， 将 密 
钥 表 示 为 一 个 随机 变量 K。 使 用 密 钥 加 密 明 文 得 到 密 文 ， 因 此 ， 密 文 取决 于 明 
文 和 密 钥 。 对 于 每 个 可 能 的 明文 i ,我 们 用 X; 表 示 相 应 的 密 文 。 也 就 是 说 ， 
Xi 一 ii K)。 请 注意 ， 因 为 密 钥 K 是 一 个 随机 变量 ， 所 以 X; 也 是 一 个 随机 
变量 。 

下 面 是 完美 保密 的 安全 性 要 求 : 


完美 保密 随机 变量 Xo， X]1 9 入? td. X, 的 概率 分 布 是 相同 的 。 





因此 ， 如 采 有 人 只 告诉 你 Xi 中 的 一 个 随机 变量 的 概率 分 布 ， 你 不 能 判断 这 
是 哪 一 个 ， 也 就 是 说 ， 是 哪个 明文 产生 了 它 。 如 果 她 不 告诉 你 概率 分 布 ， 而 是 
给 你 一 个 根据 此 分 布 选择 的 数 ， 你 还 是 不 知道 使 用 了 哪 一 个 X;。 

但 是 这 恰恰 是 Eve 得 到 的 : 随机 变量 Xi 中 的 一 个 特定 值 。 这 个 特定 值 是 根 
据 变量 的 概率 分 布 随 机 选择 的 。 因 为 所 有 变量 的 概率 分 布 是 相同 的 ，Eve 得 不 
到 关于 特定 明文 i 的 任何 信息 。 她 的 后 验 知识 与 她 的 先 验 知识 相同 。 


例 2a 考虑 一 个 密码 系统 ， 其 加 密 消 数 是 f(clear,key) 二 clear 十 key rem 2。 
明文 仅 可 能 是 1 和 0， 且 密 钥 也 仅 可 能 是 1 和 0。 密 钥 是 随机 选取 的 。 密 钥 有 
1/2 的 概率 是 0， 有 1/2 的 概率 是 1。 
。 假设 明文 是 1， 那 么 密 文 的 概率 分 布 是 什么 呢 ? 密 铀 有 1/2 的 概率 是 1， 
所 以 密 文 是 1 十 1 二 0。 密 钥 有 1/2 的 概率 是 0， 所 以 密 文 是 1 十 0 二 1。 
因此 密 文 有 1/2 的 概率 是 0， 有 1/2 的 概率 是 1。 

。 假设 明文 是 0， 那 么 在 这 种 情况 下 密 文 的 概率 分 布 是 什么 呢 ? 密 铀 有 
1/2 的 概率 是 1， 所 以 密 文 是 0 十 1 三 1。 密 钥 有 1/2 的 概率 是 0， 所 以 密 
文 是 0 十 0 三 0。 因 此 和 密 文 有 1/2 的 概率 是 1， 有 1/2 的 概率 是 0。 座 


我 们 看 到 这 个 密码 系统 实现 了 完美 保密 性 : 对 于 均匀 随机 选择 的 密 钥 ， 密 
文 的 概率 分 布 不 依赖 于 明文 。 


例 4 考虑 一 个 基于 非 模 算术 的 密码 系统 ， 其 加 密 算 法 是 f(clear, key) 二 
clear 十 key。 假 设 明 文 和 密 钥 必须 是 模 26 的 代表 元 。 因 此 ， 密 文 可 以 是 0 到 50 
之 间 的 任意 数 。 我 们 假设 密 钥 是 在 {0，1，2，…，25} 上 均匀 随机 选择 的 。 

。 假设 明文 是 0。 在 这 种 情况 下 ， 密 文 在 (0,1,…,25} 上 是 均匀 分 布 的 。 

密 文 是 26 或 是 27…… 或 是 50 的 概率 是 0。 
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。 假设 明文 是 1。 在 这 种 情况 下 ， 密 文 均匀 分 布 在 {1,2,…,26} 上 。 
。 假设 明文 是 25。 在 这 种 情况 下 ， 密 文 均匀 分 布 在 {125,26,…,50} 上 。 国 


很 明显 ， 密 文 的 概率 分 布 严 重 依赖 于 特定 的 明文 。 因 此 这 个 系统 没有 达到 
完美 保密 。 事 实 上 ， 举 例 来 说 ,一 个 具有 先 验 知识 明文 是 0 或 25 的 镭 听 者 很 有 
可 能 在 获得 密 文 后 就 能 知道 到 的 是 哪 一 个 明文 。 因 为 只 存在 一 个 密 文 ,也 就 是 
25， 对 应 的 明文 既 可 以 是 0， 又 可 以 是 25。 

即使 是 NSO 也 不 能 期 望 单独 地 考虑 每 个 明文 z， 并 计算 其 对 应 密 文 随机 变 
量 X; 的 概率 分 布 。 相 反 ， 和 研究 者 们 利用 加 密 函 数 的 数学 性 质 来 说 明 完 美 保 密 
性 被 达到 。 

他 们 使 用 了 下 面 的 引 理 。( 引 理 是 为 了 帮助 证 明 其 他 结论 而 被 证 明 的 数学 结 
论 。) 下 面 这 个 引 理 的 证 明 可 能 看 上 去 难以 理解 ， 但 是 思想 很 简单 。 


引 理 1 假设 g(x) 是 一 个 可 逆 函 数 。 令 义 是 g 的 定义 域 上 的 一 个 元 素 ，X 
是 按 均匀 分 布 随机 挑选 的 〈 也 就 是 说 ，X 是 一 个 随机 变量 )， 那么 相应 的 输出 
g(CX) 是 随机 的 ， 并 且 均 匀 分 布 于 上 域 的 元 素 里 。 

证 明 假设 < 是 上 域 中 的 任意 一 个 元 素 ， 根 据 g 的 逆 阴 数 g “的 定义 ， 随 
机 上 域 元 素 g(X) 等 于 c， 只 要 随机 定义 域 元素 X 等 于 g (co)。X 一 8 1(0) 的 
概率 是 1 除 以 定义 域 的 元 素数 ， 所 以 g(X) 二 c 的 概率 也 是 1 除 以 定义 域 的 元 
系数 。 

我 们 已 经 证 明 ， 给 定 上 域 中 的 任意 一 个 元 素 ，g(X) 等 于 这 个 元 素 的 概率 
是 1 除 以 定义 域 的 元 素数 。 因 为 所 有 上 域 中 的 元 素 具 有 相同 的 概率 ， 所 以 5(CX) 
的 分 布 是 均匀 的 。 司 


例 5 考虑 因数 g(x) 二 x 十 3 rem 4， 其 定义 域 为 {0，1，2，3}， 上 域 也 是 
{0，1，2，3}。 假 设 X 是 均匀 随机 选取 的 定义 域 中 的 元 素 。 这 意味 着 ，X 有 
1/4 的 概率 是 0，1/4 的 概率 是 1，1/4 的 概率 是 2，1/4 的 概率 是 3。 令 Y= 
f(X)， 那么 Y 也 是 一 个 随机 变量 。Y==0 的 概率 是 多 少 ? Y==0 意味 着 X=1， 
且 以 1/4 的 概率 发 生 。Y=1 的 概率 是 多 少 ? Y==1 意味 着 X= 二 2， 这 个 发 生 的 概 
率 是 1/4。 同 样 ，Y=2 的 概率 是 1/4,，Y==3 的 概率 也 是 1/4。 因 此 , Y 在 {0， 
1s 2，3} 上 是 均匀 分 布 的 。 可 


引 理 2 对 于 每 个 明文 zi， 定义 函数 fwr=i(key) 为 
了 = fl(i,key) 


62 锚 6 恒 


如 果 对 于 每 个 明文 1， 函数 fi 是 可 逆 的 ， 那 么 使 用 加 密 函 数 f 的 密码 系统 

证 明 假设 密 钥 K 是 根据 均匀 分 布 随机 选取 的 。 令 i 表示 任意 一 个 明文 。 
密 文 是 随机 变量 fi:(K)。 由 引 理 1 得， 这 个 随机 变量 的 概率 分 布 是 均匀 的 。 

我 们 已 经 证 明 ， 不 管 选 取 什 么 明文 ?i， 密 文 的 概率 分 布 是 均匀 的 。 因 此 ， 
密 文 的 概率 分 布 不 依赖 于 我 们 选取 的 明文 。 这 表明 这 个 密码 系统 实现 了 完美 
保密 加 


例 5a 考虑 模 4 加 法 密码 ， 加 密 消 数 是 f(clear,key) 二 clear 十 key rem 4。 
假设 密 钥 是 在 {0, 1, 2, 3) 上 均匀 随机 选取 的 。 
。 假设 明文 i 是 0， 通过 将 公式 中 的 明文 赋值 为 0， 我 们 得 到 孙 数 
fo(key) = 0++ key rem 4 
这 当然 是 一 个 可 逆 函 数 〈 事 实 上， 这 个 函数 的 逆 是 它 本 身 )。 因 此 ， 由 
引 理 1 得 ， 对 于 一 个 均匀 随机 的 密 钥 ， 密 文 在 {10, 1, 2, 3} 上 是 均 勾 
随机 的 。 
。 假设 明文 i 是 1， 通过 将 公式 中 的 明文 赋值 为 1， 我 们 得 到 也 数 
fi(key) = 1+key rem 4 
因为 这 是 一 个 可 逆 函 数 ， 所 以 密 文 在 {0, 1, 2, 3; 上 是 均匀 随机 的 。 
。 可 以 试验 明文 等 于 2 和 明文 等 于 3 的 情况 。 在 这 些 情况 下 ， 密 文 在 {0， 
1，2，3} 上 也 是 均匀 随机 的 。 
不 管 明文 是 什么 ， 相 应 密 文 的 概率 分 布 在 40, 1, 2, 3} 上 是 均匀 的 。 因 此 
这 个 密码 系统 实现 了 完美 保密 。 于 


例 1b 我 们 再 一 次 考虑 分 组 长 度 是 五 位 数 的 加 法 密码 ， 模 数 是 105 ， 密 
钥 是 一 个 五 位 数字 。 然 而 相对 于 加 密 两 个 分 组 ， 这 次 我 们 考虑 只 加 密 一 个 分 
组 的 情况 (如果 想 要 安全 地 加 密 第 二 个 分 组 ， 必 须 使 用 男 一 个 密 钥 )。 加 密 消 
数 是 

EE, 

令 i 表示 任意 一 个 明文 (也 就 是 任意 一 个 五 位 数 )。 那 么 之 前 定义 的 函数 

fi 是 
Re es ey a 
因此 这 个 函数 将 i 模 加 到 它 的 输入 之 上 。 这 个 函数 可 逆 吗 ? 是 的 : 模 加 1 的 


逆 是 模 减 i。 因 此 逆 孔 数 g; 以 下 面 的 法 则 定义 : 
gi(key) = key— i rem 10° 


例 1c 现在 假设 我 们 使 用 与 例 1b 相同 的 密码 系统 ， 但 用 同一 个 密 钥 加 密 
两 个 明文 分 组 。 例 如 ， 假 设 明文 是 40186 37600。 密 文 也 由 两 个 分 组 构成 。 密 
文 的 第 一 个 分 组 通过 将 密 钥 加 到 40186 上 (并 取 余 数 ) 得 到 。 密 文 的 第 二 个 分 
组 通过 将 密 钥 加 到 37600 上 (并 取 余 数 ) 得到。 我 们 可 以 将 这 个 函数 的 法 则 书 
写 如 下 : 

hl(key) 一 [40186 十 zi rem 105 ,37600 十 i rem 105 | 


这 个 函数 可 逆 吗 ? 不 ， 它 不 可 道 。 例 如 ， 密 文 L40186，40186」 在 困 数 六 


下 不 是 任何 密 钥 的 像 。 它 的 逆 函 数 不 能 将 40186 40186 映射 到 任何 数 。 因 此 它 
的 逆 不 是 一 个 函数 。 

事实 上， 正如 我 们 在 例 1a 中 看 到 的 ， 这 个 密码 系统 没有 实现 完美 保密 性 : 
Eve 可 以 从 密 文 中 获得 关于 明文 的 信息 。 利 用 概率 分 布 的 术语 理解 这 一 点 的 一 
个 方法 是 ， 如 果 明 文 是 40186 37600， 那 么 密 铀 有 1/105 的 概率 是 59814， 因 此 
密 文 有 1/103 的 概率 为 00000 97414。 然 而 ， 如 果 明 文 换 成 40186 37644， 那 么 
不 存在 可 以 产生 密 文 00000 97414 的 密 钥 ， 所 以 这 个 密 文 发 生 的 概率 是 0。 因 
此 ， 如 果 Eve 恰巧 知道 了 这 个 密 文 ， 她 就 知道 明文 不 是 40186 37644。 四 


6.3 完美 保密 与 唯一 解密 性 


令 f(clear，key) 为 一 个 密码 系统 的 加 密 函 数 。 我 们 已 经 知道 ， 如 果 对 于 
每 个 明文 ?，fwain=i 是 一 个 可 道 函 数 ， 那 么 这 个 密码 系统 是 完美 保密 的 。 

回想 一 下 ， 一 个 密码 系统 满足 唯一 解密 性 意味 着 对 于 每 个 密 钥 ， 隐 数 f 的 
定义 域 中 的 每 个 元 素 恰 巧 是 一 个 明文 的 加 密 。 唯 一 解密 性 的 男 一 种 表达 方式 
是 ， 对 每 个 密 钥 &，. 帮 ,= 是 一 个 可 逆 盟 数 。 

我 们 发 现 ， 判 断 一 个 密码 系统 是 否 满足 唯一 解密 性 与 判断 它 是 否 满足 完美 
保密 性 非常 相似 。 唯 一 的 区 别 是 ， 一 个 是 固定 明文 以 密 钥 作 为 变量 得 到 明 数 ， 
男 一 个 是 固定 密 钥 以 明文 作为 变量 得 到 函数 SS 。 从 这 个 相似 性 的 视角 ， 我 们 说 
一 个 加 密 函 数 是 唯一 可 解密 钥 的 (uniquely de-keyable)， 如 果 对 于 每 个 1， 隙 数 


唱 ”当然 存在 不 可 逆 的 完美 保密 的 密码 系统 。 设 计 一 个 ! 


frmain=i; 是 可 逆 的 o 


6.4 完美 保密 简 史 


6.4.1 弗 纳 姆 机 器 


1917 年 ，AT&T 公 司 27 岁 的 工程 师 吉 尔 伯 特 。 弗 纳 姆 发 明了 一 个 对 电报 
计 息 加 密 / 解 密 的 机 器 。 约 瑟 夫 。 黄 博 涅 (陆军 少校 ， 通 信 研 究 工程 部 部 长 ) 
考虑 如 何 用 它 制作 一 个 不 会 被 攻破 的 系统 。 大 概 30 年 后 ， 克 劳 德 . 香农 提出 了 
完美 保密 理论 ， 并 且 用 该 理论 证 明了 弗 纳 姆 密码 确实 实现 了 完美 保密 。 正 如 我 
们 将 看 到 的 ， 这 种 安全 性 是 要 付出 相应 代价 的 。 

弗 纳 姆 的 发 明 的 基础 是 模 2 加 法 。 正 如 我 们 在 例 2a 中 看 到 的 ， 通 过 模 2 加 
法 进行 加 密 可 以 实现 完美 保密 性 。 模 2 运算 只 作用 于 1 和 0 (被 称 作 二 进 制 数 
或 比特 ) ， 所 以 非常 适合 在 数字 电子 的 二 进 制 世界 实现 。 模 2 加 法 在 密码 学 应 用 
中 有 一 个 额外 的 优势 。 因 为 一 1 模 2 的 代表 元 等 于 1， 所 以 模 2 减 1 与 模 2 加 1 
是 相同 的 。 当 然 , 减 0 与 加 0 也 是 相同 的 。 由 此 得 出 结论 ， 解 密 函 数 〈( 模 2 减 
密 钥 ) 与 加 密 函 数 〈 模 2 加 密 钥 ) 是 相同 的 。 

当 模 数 是 2 时 ， 只 有 两 个 可 能 的 明文 1 和 0。 为 了 加 密 一 个 更 长 的 明文 ， 
我 们 可 以 把 它 表示 成 0 和 1 组 成 的 字符 串 ( 称 作 二 进 制 数 或 比特 )， 并 为 每 一 个 
比特 使 用 一 个 新 的 随机 密 钥 ， 逐 比特 加 密 。 所 以 密 钥 所 需 的 比特 数量 就 是 要 加 
密 的 明文 的 比特 数量 。 

手工 将 自然 语言 下 的 明文 转化 为 二 进 制 并 且 再 转化 回来 是 一 个 烦琐 的 工作 。 
当 弗 纳 姆 从 事 密码 学 工作 的 时 候 ， 一 种 将 这 些 过 程 自动 化 的 机 器 〈 电 传 打字 机 ) 
就 已 经 存在 了 。 

电 传 打字 机 中 使 用 的 “ 摩 斯 ” 码 是 博多 码 ， 博 多 码 以 发 明 者 J]. M. E. Baudot 
的 名 字 命 名 ， 每 个 符号 都 用 五 个 比特 组 成 的 串 表 示 。 有 32 个 这 种 串 ， 所 以 有 
32 个 符号 可 以 用 这 种 方式 表示 。 电 传 打 字 机 将 按键 转化 为 通过 一 根 导线 传输 
的 、 表 示 1 和 0 的 电 脉冲 。 这 个 机 器 也 可 以 读 穿孔 纸 带 ， 在 一 条 纸 带 上 ， 用 穿 
孔 的 有 无 代表 1 和 0 组 成 的 长 序列 。 

弗 纳 姆 提出 使 用 电 传 打字 机 将 来 自 穿孔 纸 带 的 比特 与 按键 产生 的 比特 组 合 。 
每 次 按 下 一 个 键 ， 就 会 产生 与 被 按 下 符号 对 应 的 5 个 比特 。 同 时 ， 纸 带 向 前 移 
动 5 个 位 置 ， 并 从 纸 带 读 入 5 个 比特 。 将 按键 产生 的 第 一 个 比特 与 从 纸 带 读 人 


定 类 保 殉 与 完 类 人 委 会 的 下 码 系 统 65 


的 第 一 个 比特 相 加 “〈 模 2) ， 得 到 的 结果 比特 通过 线路 传送 。 按 键 产生 的 其 余 4 
个 比特 中 的 每 一 个 与 从 纸 带 读 和 的 其 余 4 个 比特 中 的 每 一 个 以 同样 方式 组 合 。 
通过 使 用 纸 带 存储 一 个 足够 长 的 密 钥 比特 序列 ， 人 们 可 以 目 动 加 密 一 个 完整 
诗 乱 。 

在 另 一 端 ， 拥 有 同一 纸 带 的 一 个 相似 的 机 带 可 以 实现 解密 。 通 过 线路 收 到 
的 比特 与 相应 的 存储 在 纸 带 上 的 比特 进行 模 2 加 运算 。 

弗 纳 姆 机 需 的 一 个 重要 优势 在 于 它 将 加 密 过 程 与 传输 过 程 相 结 合 。 在 这 之 
前 ， 我 们 必须 首先 加 密 信 息 ， 然 后 再 单独 传送 密 文 。 弗 纳 姆 去 反 了 中 间 步 又 ， 
提升 了 效率 并 且 降 低 了 错误 的 可 能 性 。 

密 钥 纸 带 是 成 对 产生 的 。 为 了 产生 五 位 比特 的 密 铀 ， 首 先 随机 选取 一 个 符 
号 (从 帽子 里 抓 阅 )， 按 下 相应 的 键 ， 相 应 的 5 个 比特 就 会 被 打 孔 在 两 个 纸 市 
上 。 然 后 选取 另 一 个 符号 ， 以 此 类 推 。 制 作 密 钥 纸 带 仍 然 是 一 个 有 点 艰 订 的 
过 程 。 

在 早期 ， 密 钥 纸 带 形成 一 个 循环 ， 以 便 提 供 一 个 无 限 的 密 钥 比特 流 。 只 要 
加 密 机 融 的 纸 带 和 解密 机 融 的 纸 带 相同 ， 并 且 是 在 同一 个 地 方 开始 的 ， 它 们 就 
会 永远 保持 同步 。 

然而 ， 因 为 密 钥 最 终 会 重复 ， 所 以 密 钥 的 循环 不 能 提供 完美 保密 性 。 竟 博 
涅 意识 到 任何 有 规律 的 重复 都 会 导致 不 安全 。 更 重要 的 是 ， 他 意识 到 如 果 纸 市 
不 循环 ， 即 如 果 每 个 随机 密 钥 只 被 使 用 一 次 ， 这 个 系统 将 会 满足 完美 保密 性 。 
即使 窃听 者 有 前 半 段 明文 的 先 验 知识 ， 并 且 和 家 听 到 了 后 半 段 的 密 文 ， 这 也 对 她 
没有 任何 帮助 ， 因 为 后 半 段 使 用 的 密 钥 与 前 半 段 使 用 的 密 钥 没有 关系 。 

不 管 AT&T 怎样 努力 推广 弗 纳 姆 机 器 ， 它 仍然 没有 实现 商业 上 的 成 功 。 企 
业 更 倾向 于 使 用 他 们 知道 的 方法 。 甚 至 美国 政府 拒绝 使 用 不 可 攻破 的 密码 系 
统 ， 直 到 第 二 次 世界 大 战 来 临 。 


6.4.2 一 次 性 密码 本 


大 约 与 弗 纳 姆 和 英 博 涅 在 美国 提出 无 法 破解 的 密码 系统 的 同一 时 间 ， 在 德 
国 也 发 现 了 同样 的 思想 。 德 国外 交 部 的 三 个 密码 学 家 沃 纳 ， 昆 次 、 鲁 道夫 … 谢 
弗 和 埃 里 希 。 朗 洛 区 偶然 想到 使 用 随机 并 且 不 重复 的 密 钥 。 他 们 使 用 模 10 加 
法 ， 而 不 是 模 2 加 法 。 此 外 ,他们 的 系统 并 没有 整合 为 一 人 台 机 天， 他 们 仍 坚 持 
雇 职 员 手 工 执 行 加 密 和 解密 操作 。 与 弗 纳 姆 不 同 的 是 ， 政 府 使 用 了 他 们 的 系 
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统 : 大 约 1922 年 ， 德 国外 交 部 开始 使 用 该 系统 。 

密 钥 没有 存储 在 纸 带 上 ， 而 是 存储 在 密码 本 上 。 每 个 密码 本 包含 50 个 编 
号 的 工作 表 ， 每 张 工 作 表 为 法 律 用 纸 尺寸 大 小 ， 表 上 列 有 48 个 五 位 数 。 密 码 
本 是 成 对 制作 的 ， 所 以 每 个 密码 本 仅 有 两 份 副本 (copy)。 一 个 副本 被 保留 在 
相 林 ， 而 为 一 个 副本 提供 给 大 使 馆 。 办 事 员 一 次 使 用 密码 本 中 的 一 张 表 ， 该 
表 使 用 后 即 被 销毁 ， 所 以 一 张 表 不 会 被 再 次 使 用 。 这 个 系统 以 一 次 性 密码 本 
而 闻名 。 


6.5 完美 保密 密码 系统 的 缺点 


如 果 一 次 性 密码 本 是 完美 保密 的 ， 政 府 为 什么 会 使 用 别 的 系统 呢 ? 这 是 因 
为 它 囊 来 完美 保密 性 特征 的 同时 也 使 系统 变 得 不 实用 : 它 消 耗 了 巨大 数量 的 密 
钥 。 需 要 加 密 的 信息 流 是 巨 量 的 ， 特 别 是 在 战争 时 期 尤为 如 此 ， 而 制造 密码 本 
跟 不 上 这 个 速度 。 

此 外 ， 假 设 许 多 地 理 位 置 分 散 的 团体 〈 假 设 是 军团 的 通信 职员 ) 相互 之 间 
需要 安全 地 通信 。 如 果 使 用 传统 的 密码 系统 ， 他 们 可 能 被 提供 一 个 密 钥 用 于 所 
有 的 通信 。 而 硅 他 们 使 用 一 次 性 密码 本 系统 ， 有 两 种 可 能 性 ， 第 一 种 是 每 一 方 
与 其 他 各 方 都 分 别 有 一 个 用 来 通信 的 不 同 的 密码 本 。 这 个 方法 极 大 地 增 大 了 需 
wu nis 
而 ， 在 这 种 情况 下 ， 他 们 必须 不 断 地 彼此 通信 进行 协调 ， 来 保证 没有 两 方 独 立 
地 使 用 密码 本 中 的 同一 张 密码 表 。 例 如 ,假设 有 四 个 团体 A、B、C 和 DD，A 与 
B 通 信 ，C 与 了 DD 通信 。A 和 C 必须 进行 协调 ， 以 便 A 和 C 不 会 无 意 中 使 用 了 密 
人 码 本 中 的 同一 张 表 。 这 种 协调 非常 困难 ， 特 别 是 在 战争 时 期 〈 当 其 中 一 方 不 可 

， 你 该 怎么 办 ?) 。 

1930 年 ， 苏 联 在 他 们 的 军队 、 外 交 、 商 业 、 人 情报 及 反 情 报 的 通信 中 采用 了 
一 次 性 密码 本 系统 。 然 而 ， 在 第 二 次 世界 大 战 初 期 ， 他 们 陷于 密码 本 短缺 。 结 
果 ， 他 们 被 迫 错 误 地 使 用 系统 : 多 个 信息 使 用 相同 的 密 钥 加 密 。 这 种 情况 可 能 
由 于 以 上 的 多 方 场景 而 发 生 ， 或 许 只 是 简单 地 因为 制作 密码 本 的 速度 限制 。 事 
实 上 ， 这 个 错 用 并 不 一 定 意味 着 违反 了 安全 性 。 例 如 ， 典 型 地 ， 一 条 用 密 钥 加 
密 的 信息 是 相当 低级 别 的 外 交 人 信息， 而 男 一 条 是 与 间谍 相关 的 顶级 机 密 的 信 
息 。 大 概 一 些 密码 职员 推断 这 样 使 用 可 能 更 有 可 能 逃 过 其 他 国家 情报 服务 的 注 
意 。 不 管 原因 为 何 ， 这 种 (完美) 安全 性 的 暂时 失效 导致 美国 和 英国 都 试图 对 
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苏联 和 其 代表 处 之 间 通 信 的 数 干 条 消息 进行 密码 分 析 。 这 些 信息 中 ， 只 有 1% 
产生 威胁 ， 并 且 在 这 1 加 中 ， 只 有 几 个 单词 被 泄露 。 然 而 ， 这 足以 了 解 一 些 西 [73| 
方 感 兴趣 的 主题 ， 即 苏联 间谍 对 英国 的 情报 部 队 一 一 军情 五 处 的 渗透 。 


6.6 思考 题 


1. 当 你 在 一 个 跑马 场 ， 一 个 骑 师 朋友 悄悄 给 你 一 张 纸 ， 纸 上 有 上 昨天 五 场 预赛 中 
参加 今天 比赛 的 四 匹 马 的 比赛 结果 。 不 幸 的 是 ， 你 忘记 了 之 前 商定 的 密 钥 是 
什么 (但 是 你 记得 密 钥 是 均匀 随机 选择 的 )。 你 知道 信息 是 使 用 下 面 的 方法 
加 密 的 : 


明文 (马匹) 





考虑 一 下 解密 他 的 消息 “33333” 后 ， 你 能 得 到 什么 信息 。 
(a) 根据 这 条 密 文 ， 获 胜 的 马 的 组 合 可 能 是 什么 ? 
(b) 在 今天 的 比赛 中 你 对 哪 匹 马 下 注 ? 为 什么 ? 

2. 想象 一 下 你 是 Eve， 一 天 早上 醒 来 ， 了 解 到 Alice 回 Bob 发 送 了 一 条 消息 。 这 
条 消息 只 有 一 个 数字 ， 这 个 数字 是 明文 加 上 一 个 随机 选择 的 密 钥 〈 模 10) 
得 到 的 。 

(a) 据 你 目前 所 知 ， 可 能 的 明文 是 什么 ? 

(b) 假设 一 个 小 时 之 后 ， 你 获得 了 密 文 。 现 在 与 你 所 知 相 一 致 的 明文 是 什么 ? 

(c) 现在 假设 第 二 天 你 醒 来 ， 了 解 到 Bob 向 Alice 发 送 了 一 条 消息 ， 这 条 消 
息 包 含 两 个 数字 ， 是 通过 将 随机 选择 的 一 个 密 钥 与 每 个 数字 加 起 来 〈 模 


10) 加 密 得 来 。 根 据 你 现在 所 知 ， 可 能 的 明文 是 什么 ? | 
(d) 又 一 次 ， 在 思考 了 一 个 小 时 后 ， 你 观察 到 密 文本 身 。 现 在 与 你 所 知 相 一 
致 的 明文 是 什么 ? 


对 于 下 面 思 考题 3 到 思考 题 8 描述 的 每 个 加 密 函 数 ， 回 答 下 面 的 问题 。 


68 


(i)) 对 于 每 个 密 钥 ， 加 密 函 数 是 唯一 可 解密 的 吗 ” 如 果 是 ， 使 用 法 则 定义 解 
密 函 数 。 如 果 不 是 ， 给 出 一 个 密 钥 以 及 两 个 映射 到 同一 个 密 文 的 明文 。 
(ii) 对 于 每 个 明文 ， 加 密 函 数 是 唯一 可 解密 钥 的 吗 ? 如 果 是 ,证 明 对 于 任意 
明文 ， 密 钥 与 密 文 之 间 的 映射 函数 是 可 首 的 (通过 给 出 逆 函 数 的 法 则 )。 
如 果 不 是 ， 给 出 一 个 明文 以 及 两 个 映射 到 同一 个 密 文 的 密 钥 。 

(ii) 如 果 (iD 中 表明 了 加 密 方 法 不 是 唯一 可 解密 钥 的 ， 那 么 它 是 完美 保密 
的 吗 ? 如果 是 ， 在 假设 密 钥 是 均匀 随机 选取 的 前 提 下 ， 画 出 密 文 的 概 
率 分 布 。 一 定 要 标明 坐标 轴 来 说 明 概 率 值 是 什么 。 如 果 不 是 ， 给 出 两 
个 不 同 的 明文 ， 这 两 个 明文 对 应 的 密 文 的 概率 分 布 是 不 同 的 。 

例子 : 

法 则 : encrypt(clear,key)=cleartkey rem 10 

明文 空间 : 整数 0 至 9 

窗 钥 空间 : 整数 0 至 9 

。 答 文 空间 : 整数 0 至 9 


(iD) 是 的 ， 这 个 函数 对 于 每 个 密 钥 都 是 唯一 可 解密 的 。 解 蜜 函数 的 法 则 是 
decrypt(cyph,key)=cyph— key rem 10。 
(ii) 是 的 ， 这 个 函数 对 于 每 个 明文 是 唯一 可 解密 钥 的 。 解 密 函 数 的 法 则 
是 key 二 cyph—clear rem 10。 
(lii) 如 〈ii) 中 说 明 ， 这 个 函数 是 唯一 可 解密 铀 的 。 
例子 : 
。 法 则 : encrypt(clear,key)=clear ‘key rem 10 
。 明文 空间 : 整数 0 至 9 
答 钥 空间 : 整数 0 至 9 
。 窗 文 空间 : 整数 0 至 9 


(iD) 这 个 函数 对 于 每 个 密 钥 不 都 是 唯一 可 解密 的 。 例 如 ， 如 果 密 钥 是 5， 
明文 6 和 8 对 应 的 密 文 都 是 0。 
(i1) 这 个 函数 也 不 是 唯一 可 解密 钥 的 。 如 果 明 文 是 2， 使 用 密 钥 3 和 密 铀 
8 都 可 以 得 到 密 文 6。 
(Ciii) 明文 3 和 4 有 不 同 的 密 文 概率 分 布 。 
例子 : 


。 法 则 : encrypt(clear,key) 二 (clear .Rey2 )rem 7 
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。 明文 空间 : 1,，2, 4 
。 闭 铀 空间，1，2，3，4，5，6 
5 深交 灾 闻 ;; 1 将 忒 
(i) 是 的 ， 这 个 函数 对 于 每 个 密 钥 都 是 唯一 可 解密 的 。 解 密 函 数 的 法 则 是 


decrypt (cyph ,key) = br rem 7 


(1) 不 是 ， 这 个 函数 不 是 唯一 可 解密 钥 的 。 如 果 明 文 是 1， 使 用 密 钥 3 和 
4 都 可 以 得 到 密 文 2。 

(iii) 尽管 这 个 函数 不 是 唯一 可 解密 钥 的 ， 但 是 它 是 完美 保密 的 。 概 率 分 
布 是 均匀 的 。 每 个 可 能 的 密 文 的 概率 都 是 1/3。 





2 
密 文 


. 守则 eervin( ete bony = ele * key yen 11 
明文 空间 : 整数 1 至 10 

密 钥 空间 : 整数 1 至 10 

密 文 空间 : 整数 1 至 10 

, 针 册 eneryprtoleor hes cleus | key rem 13 
明文 空间 : 整数 0 至 12 

密 钥 空间 : 整数 0 至 12 

密 文 空间 : 整数 0 至 12 

. 法 则 : ezcryzpt(CclearyRey) 王 cleazr 十 Rey rem 7 
明文 空间 : 整数 0 至 6 

密 钥 空间 : 整数 0 至 6 

密 文 空间 : 整数 0 至 6 

. 法 则 : encrypt(clear,key) 二 4*。 clear 十 key rem 14 
明文 空间 : 整数 0 至 13 

密 钥 空 间 : 整数 0 至 13 
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密 文 空 
7. 法 则 : 
明文 空 


密 钥 空 


密 文 空 


8. 法 则 ， 
明文 空 


密 钥 空 
密 文 空 


x 间 : 整数 0 至 13 
encrypt(clear,key)—=(clear * key’:) rem 5 
s 则 ]: 

加 ji 时 坊 s 和 

x 间 : 

encrypt(clear, key)=—=clearkey 
间 二 0，1，2，3 

s 间 二 0，1，2，3 

j= 二 上。 1 鸭 s 条 蒜 。 必 


下 面 的 表 表 示 加 密 每 个 信息 分 组 的 不 同 的 加 密 函 数 。 每 个 分 组 使 用 的 密 钥 是 
均匀 随机 选择 的 。 对 于 每 个 加 密 函 数 ， 请 简要 回答 下 面 两 个 问题 : 

(a) 它 有 没有 实现 完美 保密 性 ?如果 没有 ， 为 什么 没有 ? 

(b) 它 有 没有 实现 唯一 解密 性 ?如 果 没 有 ， 为 什么 没有 ? 


明文 


1}, 


明文 


14. Abbot 和 Costello 为 NSO 效力 ， 








10. 


明文 





2 


明文 





明文 





责 评 价 密码 系统 的 安全 性 。 他 们 收 到 一 


个 加 密 函 数 的 提案 ， 如 下 表 所 示 。 


先 沽 保 血 与 完 类 父 会 失血 码 条 统 7 





Abbot 说 : 

“这 个 系统 有 如 下 性 质 : 对 于 每 个 密 钥 ， 一 个 按照 均匀 分 布 (在 所 有 可 能 的 

明文 集合 上 ) 随机 选取 的 明文 被 加 密 成 一 个 按照 均匀 分 布 (在 所 有 可 能 的 

密 文集 合 上 ) 随机 选取 的 密 文 。 因 此 ， 这 个 系统 是 完美 保密 的 。?” 

Costello 回答 说 : 

“Abbot， 你 错 了 。 这 个 系统 实现 了 完美 保密 性 ， 但 不 是 因为 你 给 出 的 原因 。 

事实 上 ， 我 可 以 重新 整理 表格 里 的 密 文 ， 使 得 加 密 方 法 具备 你 提出 的 性 质 ， 

但 是 不 具备 任何 安全 性 1” 

Costello 是 正确 的 。 

(a) 说 明 如 何 重 新 整理 表格 里 的 密 文 以 得 到 一 个 加 密 吗 数 ， 该 限 数 具备 
Abbot 提出 的 性 质 ， 但 却 明 显 是 不 安全 的 。 


(b) 为 什么 一 开始 提出 的 加 密 方法 实现 了 完美 保密 性 ?通过 引用 具体 的 表 
来 解释 一 下 。 


15. 考虑 下 面 的 加 密 郴 数 : 


明文 室 例 。 0 1 2 村， 到 
密 钥 空间 : 0，1，2，3，14 
密 文 空间 ; 03 1，2， 3;， 4 
fplain,key)= plain’ tkey?rem 5 
(a) 对 于 每 个 可 能 的 密 钥 上 ， 相 应 加 密 孔 数 的 特殊 化 为 Encryptiy=:， 其 定义 
域 是 明文 集合 ， 上 域 是 密 文 集合 。 在 下 面 简要 画 出 这 些 特殊 化 也 数 。 
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key=0 key=1 
plain cyph 
0 0 
1 1 
和 2 
3 3 
4 4 
key=2 key=3 
plain plain 
0 0 
1 1 
2 2 
3 3 
4 4 
key=2 
plain 
0 
1 
2 
3 
4 


(b) 这 个 函数 是 唯一 可 解密 的 吗 ? 

(c) 这 个 孔 数 是 唯一 可 解密 钥 的 吗 ? 

(d) 这 个 加 密 函 数 是 否 实现 了 完美 保密 性 ? 如 果实 现 了 ， 解 释 一 下 为 什么 ; 
如 果 没 有 实现 ， 提 出 一 个 具有 相同 密 钥 空间 、 明 文 空间 、 密 文 空间 并 
且 实 现 完美 保密 的 曙 数 。 


. 每 天 深夜 两 点 , 《波士顿 环球 报 》 将 用 于 第 二 天 早报 的 文本 通过 电话 线 传 送 


给 印刷 机 构 。 文 本 包含 50 000 个 符号 ， 每 个 符号 用 一 个 0 到 29 之 间 的 数字 
表示 。 因 此 ， 这 个 文本 是 由 50 000 个 数字 组 成 的 序列 表示 的 。 为 了 安全 起 
见 ,《 波 士 顿 环球 报 》 使 用 一 次 性 密码 本 加 密 这 个 序列 。 每 个 密 文 数字 是 相 
应 的 明文 和 密 钥 的 模 30 相 加 的 和 。 

《普罗 维 登 斯 日 报 》 听 到 传闻 说 《波士顿 环球 报 》 将 要 发 表 一 篇 讲述 爱 
国 者 队 为 什么 不 会 搬 到 罗 德 岛 的 真实 原因 的 文章 。《 普 罗 维 登 斯 日 报 》 想 要 
得 到 这 篇 文章 并 且 赶 在 《波士顿 环球 报 》 之 前 发 布 。 他 们 雇用 了 以 窃听 技 
巧 闻名 的 Eve， 让 她 在 《波士顿 环球 报 》 的 密 文 发 送 到 印刷 机 构 的 途中 截 
获 该 信息 。Eve 截 获 了 密 文 并 且 通 过 调制 解 调 器 发 送 给 了 《普罗 维 登 斯 日 
报 》 的 秘密 部 门 。 

Eve 接受 这 份 工作 但 是 并 不 想 爬 进 下 水 道 ， 也 不 想 爬 上 电线 杆 〈 不 想 


苹 兰 地 工作 ) 。 因 此 ， 她 设计 了 一 个 方案 来 欺骗 《普罗 维 登 斯 日 报 》。 她 伪 


造 了 一 个 密 文 发 送 给 《普罗 维 登 斯 日 报 》， 那样 ， 她 就 可 以 温暖 舒服 地 待 在 


家 里 了 。 
她 从 以 前 儿 期 《波士顿 环球 报 》 中 了 解 到 符号 的 分 布 如 下 图 所 示 。 


ABCDEFGHI JKLMNOPQRSTUVWXYZ, ;? 


她 想 出 下 列 的 数字 分 布 : 


012345678%891011 12 29 


她 生成 一 个 50 000 个 数字 的 序列 ， 每 个 数字 是 按 上 述 分 布 挑选 的 。 然 


后 她 把 这 个 序列 发 送 给 《普罗 维 登 斯 日 报 》。 
(a) 为 什么 《普罗 维 登 斯 日 报 》 意 识 到 她 试图 欺骗 他 们 ? 准确 、 上 有 具体 地 解 


释 一 下 。 
(b) Eve 怎么 能 够 成 功 欺骗 《普罗 维 登 斯 日 报 》? 准确 、 具 体 地 解释 一 下 。 
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7.1 整除 


如 果 c/ 是 一 个 整数 ， 我 们 就 说 整数 565 均 分 (evenly divide) 整数 c。 实 际 
上 ,在 数学 上 没有 人 说 5“ 均 分 ”c 人 们 只 是 说 5b“ 整除 ” (divide) c。 男 一 
种 说 法 是 6 是 c 的 一 个 因数 (因子 ), c 的 因数 是 能 够 整除 c 的 数 。 最 后 ， 也 可 
以 说 cc 可 以 被 2 整除 。 

例如 : 

。 3 整除 12 

。 3 是 9 的 一 个 因数 

。 40 不 是 20 的 因数 

。 40 可 以 被 20 整除 

。 4 整除 4 

。 5 是 一 10 的 一 个 因数 

。 12 整除 60 
50 的 正 因数 是 1，2，5，10，25 和 50 





7.2 互 素 


称 两 个 数 r+ 和 ;是 互 素 的 ， 如 果 没 有 大 于 1 的 正 数 既 是 7 的 因数 也 是 * 的 因 
数 。 在 这 种 情况 下 我 们 还 说 7 与 s 互 素 。 例 如 ，18 和 8 不 互 素 ， 因 为 2 既是 18 
的 因数 也 是 8 的 因数 ( 称 为 公 因 数 )。 男 一 方面 ，9 和 8 是 互 素 的 ， 因 为 它们 两 
个 仅 有 的 共同 的 因数 〈 公 因数 ) 是 1 和 一 1。 当 确定 互 素 的 关系 时 ， 我 们 从 来 不 
考虑 1 和 一 1 是 它们 的 公 因 数 。 

。 20 和 40 不 是 互 素 的 一 一 例如 ，20 是 一 个 公 因 数 。 

。 27 和 80 是 互 素 的 。27 的 所 有 大 于 1 的 因数 是 3，9 和 27， 都 是 3 的 究 ， 


并 且 3 不 能 整除 80。 
。 17 与 27 是 互 素 的 。 
。 17 和 0 不 是 互 素 的 ， 因 为 17 是 这 两 个 数 的 公 因 数 。 
。 1 和 6 是 互 素 的 ， 因 为 1 仅 有 的 正 因数 是 1。 


7.3 素数 


如 果 一 个 大 于 1 的 正 整 数 n 仅 有 1 和 它 本 身 两 个 正 因 数 ， 则 称 之 为 素数 。 
因此 前 几 个 素数 是 2，3，5，7，11，13，17，19，23，29 和 31。 仅 有 的 偶 素 
数 是 2， 因为 其 他 所 有 的 偶数 都 有 2 作为 一 个 因数 。 我 们 不 将 1 计 人 系数 。 

如 果 n 是 一 个 素数 。 什 么 数 与 n 互 素 呢 ? 因为 n 仅 有 的 大 于 1 的 因数 是 nn 本 
身 ， 所 有 不 能 被 n 整除 的 数 都 与 n 是 互 素 的 。 能 够 被 整除 的 非 负 整数 是 0，nn， 
2ns 3nm， 等 等 。 


7.4 素 因 子 分 解 


60 的 分 解 是 确定 一 些 素数 使 它们 的 乘积 是 60 的 过 程 。 很 明显 6 是 一 个 因 
数 , 6。10 二 60。 但 6 和 10 不 是 素数 ， 所 以 我 们 必须 进一步 分 解 这 些 数 。6 是 
素数 2 和 3 的 乘积 ，10 是 素数 2 和 5 的 乘积 。 我 们 有 
一 多 
10=— 多 5 
将 这 些 等 式 相 乘 在 一 起 ， 得 到 
6。10 王 2。3。2。5 
所 以 60 的 素 因 子 分 解 是 2，2，3 和 5。 注意 列表 中 2 出 现 了 两 次 ， 因 为 2 要 乘 
两 次 。 
现在 我 们 用 不 同 的 方式 分 解 60。 我 们 观察 到 60 是 偶数 ， 因 此 2 是 一 个 因 
数 。 用 60 除 以 2， 得 到 30。 现 在 30 仍然 是 一 个 偶数 ， 因 此 2 是 一 个 因数 。 
除 以 2， 得 到 15。 最 后 ，15 是 3 和 5 的 乘积 。 所 以 素 因 子 分 解 是 2，2，3 
和 5。 
数论 中 的 基本 结论 是 一 个 正 数 的 素 因 子 分 解 不 依赖 于 这 些 因数 是 怎么 找到 
的 ， 一 个 正 数 有 且 仅 有 一 种 素 因 子 分 解 。 
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7.5 欧 拉 函数 p(x) 


数学 家 莱 昂 哈 德 ， 欧 拉 定 义 了 函数 %Cz) 王 小 于 工 的 数 中 与 互 素 的 整数 的 
个 数 。 在 本 书 中 ， 我 们 使 用 了 两 个 关于 $(x) 的 公式 : 


如 果 m 是 素数 ， 那 么 $(m) 二 m 一 1。 


因为 1 至 m 一 1 的 每 个 整数 都 与 冯 互 素 ， 所 以 这 个 公式 成 立 。 





硅 m 二 p，q， 其 中 p，g 是 两 个 不 同 的 素数 ， 那 么 %(z) 一 (zj 一 1)。(q 一 1)。 


这 个 公式 成 立 ， 因 为 0 到 mm 一 1 中 的 数 中 ， 除 了 下 面 的 数 都 与 m 互 素 。 
人 


Qegsl eo dr grr(DB— 1) 

第 一 列 中 有 gq 个 数 ， 第 二 列 中 有 pp 个 数 ， 总 共有 gq 十 Pp 个 数 。 因 为 0 出 现在 
两 个 列 中 ， 所 以 真实 的 总 数 是 g 十 p 一 1。 因 此 ，0 至 mm 一 1 之 间 与 mx 互 素 的 数 的 
个 数 等 于 0 到 m 一 1 之 间 数 的 总 数 〈( 也 就 是 m) 减 去 与 m 不 互 素 的 数 的 个 数 
(也 就 是 gq 十 bp 一 1)。 我 们 得 到 

$(p9) = pg— (g++p—1)= (pm—1). (g—1) 

当 p 和 g 是 比较 小 的 数 时 ，#(pg) 明显 小 于 pq。 例如, $(6) 二 (2 一 1)。 
(3 一 了 二 2。 再 如 #15) 二 8 

然而 ， 当 p 和 gg 非常 大 时 ，pg 是 巨大 的 ， 所 以 pg 和 pq 一 (gq 十 p 一 1) 之 
间 的 差距 就 没有 那么 显著 了 了。 例如， 假设 p 二 9871，g 二 9533。 那 么 pg 二 
94 100 243，#(pg) 二 94 080 840。 如 果 你 在 0 至 pg 一 1 之 间 随 机 选 一 个 数 ， 
那 它 很 可 能 与 pg 互 素 。 


7.6 乘客 


在 讨论 使 用 欧 拉 函数 之 前 ， 先 简单 回顾 一 下 乘 医 。 我 们 用 过 10” 这 种 表达 
式 ， 读 者 很 可 能 记得 这 个 表达 式 代表 
10。10。10.10.10.10.10.10.10.10.10.10.10.10.。10.10.10.10.10.10 
20 次 


底数 (在 这 个 例子 中 是 10) 表示 什么 数 多 次 乘 以 它 本 身 ， 指 数 〈 在 这 个 例子 中 是 
20) 表示 底数 乘 以 它 本 身 的 次 数 。 


7.6.1 只 指 数 相 加 法 则 
我 们 可 以 分 开 这 个 乘法 ， 因 此 : 
1]10。10。10。10。10。10。10。10。10。10。10。10。10。10。10。10。10。10。10。10 
pe 
5 次 15 次 
这 说 明 
105 。1015 = 1020 
这 是 乘 宽 的 一 个 一 般 法 则 的 例子 : 


窘 指数 相 加 法 则 2 4 一 004 


简 言 之 ， 竹 指数 相 加 相当 于 短 表 达 式 相 琵 。 


7.6.2 和 川 指 数 相 乘 法 则 


我 们 也 可 以 把 这 个 乘法 分 成 五 组 ， 每 组 四 个 数 相 乘 : 

10。10。10 .10。.10。10。10.10。.10。10。10。10。10。10。10。10。10。10。10。10 
I TE SE 
4 次 Ey 4 次 4 次 4 次 

可 以 重 写 为 
本 
我 们 注意 到 104 乘 以 它 自 身 五 次 。 这 相当 于 使 104 乘 了 五 次 ， 也 就 是 
(104)?。 这 说 明 
1020 = (101)5 
这 是 乘 震 的 另 一 个 一 般 法 则 的 例子 : 


窘 指数 相 乘 法 则 4 7 一 (COD)7 


简 言 之 ， 震 指数 相 乘 相 当 于 用 底数 与 第 一 个 指数 做 寡 运 算 ， 然 后 将 结果 与 第 二 
个 指数 做 里 运算 。 


7.7 欧 拉 定 理 
现在 我 们 给 出 一 个 定理 ， 它 对 第 14 草 描 述 的 密码 方案 非常 重要 。 
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欧 拉 定 理 : 对 任意 模 数 m 以 及 与 m 互 素 的 任 一 整数 b， 
pg = 1 (mod m) 
我 们 可 以 使 用 这 个 定理 来 简化 乘 究 表达 式 。 例 如 , 令 mm 二 4001， 这 是 一 个 
素数 。 那 么 $(m) 二 4000。 令 5 是 一 个 小 于 4001 的 正 数 。 那 么 
b8003 = Bb2°4000+3 — (4000 )2p8 
这 里 用 到 了 7. 6 节 摘 述 的 乘 寡 的 两 个 法 则 。 


因为 2%°% 寺 1] (mod 4001)， 我 们 可 以 用 1 代替 bo 来 简化 模 4001 的 表 
达 式 。 
(pi000 )283 = (1)26 = (mod 4001) 
类 似 地 ， 可 以 得 到 
BB 三 02003 三 016003 三 020003 (mod 4001) 


等 等 。 确 切 的 指数 不 重要 ， 重 要 的 是 指数 mod gC(m) 的 代表 元 。 


7.8 思考 题 


1. 对 于 下 面 的 每 一 数 对 ， 说 出 这 两 个 数 是 否 互 素 。 
(a) 18, 4 
CB) Fw 2 
《Ce 2 33 
Cd Bar Bl 
(e) 0, 17 
2. 对 于 以 下 数字 nw， 列 出 所 有 小 于 nn 且 和 n 互 素 的 非 负 整数 ， 并 使 用 该 列表 计 
算 y(n)。 
(a) 18 
(bY 23 
KG 77 
(d) 16 
(ey 15 
3. 使 用 乘客 法 则 对 以 下 每 个 公式 进行 简化 。 


六 1 
EB/ (wy 


Cb) C220 ) (yy —y) 


(a 


(Cc) Be 

在 接 下 来 的 思考 题 中 ， 你 可 以 使 用 欧 拉 定理 和 你 知道 的 模 算术 的 知识 来 
简化 模 震 表达 式 wx rem m， 使 其 虎 指 数 是 一 个 小 的 非 负 整数 。 应 该 假设 底数 
0 与 模 数 交互 素 ， 以 便 可 以 使 用 欧 拉 定理 。 
例子 : 
问题 : 模 数 m= 二 4001 〈 一 个 素数 ) 。 化 简 22905 rem m。 
答案 : $C(m) 二 4000。 简 化 如 下 : 

B2006 = "4A00046 = (CAN0 3 

由 欧 拉 定理 有 00 二 1 (mod m)， 我 们 可 以 化 人 简 62%0%%5 rem m 到 (1)3b rem 
m， 也 就 是 人 rem m. 
. 在 本 问题 中 使 用 模 数 m= 二 17。 
(a) 化 简 pl rem 17 
(b) 化 简 B33 rem 17 
(c) 化 简 5? rem 17 
(d) 化 简 2213 rem 17 
. 本 问题 中 使 用 模 数 m= 二 61。 
(a) 化 简 il rem 61 
(b) 化 简 285 rem 61 
(c) 化 简 22410 rem 61 
. 在 本 问题 中 使 用 模 数 mm 二 143。 
(a) 化 简 好 2 rem 143 
(b) 化 简 2481 rem 143 
(c) 化 简 5612037 rem 143 
. 下 面 的 等 式 中 哪些 是 正确 的 ， 哪 些 是 错误 的 ? 
(a) Br BW Cmod 17)2 
(b) b= (mod 23)? 
(c) F365 (mod 67)? 
(d) B= 6 (mod 463)? 
(e) 623 三 户 (mod 719)? 
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. 求 出 或 解释 一 下 为 什么 解 不 存在 。 


(a) (=D (mod 35) 
(DJ CR Yb Cmod 23) 
(ey Wb ys Cmed 7) 
(dD (b=6 (mod 33) 
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欧 儿 里 得 算法 





在 第 4 章 的 4. 3. 3 节 中 ， 我 们 介绍 了 模 乘 法 逆 元 的 概念 : 对 于 模 数 m， 如 
果 两 个 整数 a, 5 满足 a，b 二 1(mod m)， 则 称 a 和 65 模 m 乘法 互 逆 。 在 4.3.4 
方 ， 我 们 演示 了 一 种 发 现 模 mm 乘法 逆 元 的 方法 : 对 于 模 m 的 所 有 代表 元 ， 写 下 
这 些 元 素 之 间 的 模 疡 乘法 表 ， 然 后 在 其 中 搜索 运算 结果 为 1 的 内 容 。 在 4. 3.5 
节 中 ， 我 们 发 现 ， 对 于 模 数 6， 有些 整 数 并 没有 乘法 逆 元 ， 甚 至 是 一 些 模 6 不 
同 余 于 0 的 数 也 没有 乘法 逆 元 。 我 们 在 本 章 中 提 到 的 方法 将 解释 这 种 现象 。 

在 本 章 中 ， 我 们 摘 述 了 一 个 计算 模 乘 法 逆 元 的 好 的 算法 。 该 算法 是 对 生活 
在 公元 前 300 年 的 古典 数学 家 欧 几 里 得 (Euclid) 做 出 的 一 个 贡献 的 扩展 。 欧 
儿 里 得 广为人知 的 主要 贡献 集中 在 几何 学 的 系统 化 上 ， 但 他 著名 的 著作 《几何 
原本 》 中 也 阐述 了 数论 方面 的 知识 。 


8. 1 测量 谜 题 


假设 给 你 两 个 容器 ， 并 且 告 诉 你 每 个 容器 可 以 容纳 多 少 杯 水 。 也 给 你 一 个 空 
水 池 ， 可 以 容纳 无 限量 的 水 。 使 用 这 两 个 容器 在 水 池 中 注入 一 些 水 然后 取出 ， 
问 : 你 可 以 在 水 池 中 留 下 的 水 的 最 小 杯 数 〈 正 整数 ) 是 多 少 ? 此 谜 题 允 许 你 使 用 这 
两 个 容器 从 水 龙头 或 者 水 池 中 取水 ， 可 以 把 容器 中 的 水 倒 在 下 水 道 或 者 水 池 中 。 

比如 ， 对 于 一 个 7 杯 容 量 的 容器 和 一 个 5 杯 容 量 的 容器 ， 你 可 以 在 水 池 中 
只 留 下 一 杯 水 。 首 先 ， 使 用 7 杯 容 量 的 容 需 从 水 龙头 取水 并 将 水 倒 人 水 池 中 ， 连 续 
做 三 次 ， 现 在 水 池 中 多 了 21 杯 水 。 然 后 ， 使 用 5 杯 容量 的 容器 从 水 池 中 取水 并 将 水 
倒 和 下水道， 连续 做 四 次 。 这 样 水 池 中 少 了 20 杯 水 。 最 终 在 水 池 中 留 下 了 1 杯 水 。 
如 图 8. 1 所 示 。 

对 于 喜欢 几何 学 的 人 ,我们 可 以 用 几何 方面 的 术语 来 解释 这 个 谜 题 。 给 你 
两 根 棍子 ， 并 告诉 你 每 根 棍子 的 长 度 是 多 少 英 寸 9 。 你 想 测量 一 个 尽 可 能 小 


昌 1 英寸 二 0.0254 米 。 


二 
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( 正 的 ) 的 长 度 。 重 新 闻 述 上 边 的 例子 ,给 你 一 个 7 英寸 的 棍子 和 一 个 5 英寸 的 
棍子 ， 你 可 以 测量 出 1 英寸 的 长 度 。 正 像 图 8.2 描述 的 一 样 ， 你 可 以 使 用 7 英 
寸 的 棍子 去 发 现 距离 起 始点 向 右 21 英寸 的 点 p， 然 后 用 5 英寸 的 棍子 去 发 现 距 
离 点 p 向 左 20 英寸 的 位 置 。 


aA 
可 可 可 可 


二 口 1 杯 
图 8.1 使 用 容量 为 7 杯 和 5 杯 的 容器 的 谜 题解 决 方案 


Y 有 Fi 
a 


i 
I 
图 8.2 棍子 版 本 而 非 杯 子 版 本 的 相同 迹 题 


注意 1 杯 水 (或 1 英寸 ) 是 我 们 所 能 和 希望 的 最 佳 结果 。 假 设 每 个 容 希 可 以 
装 下 整数 杯 水 (我 们 说 容器 的 容量 是 整数 ， 意 思 是 每 一 杯 水 都 是 完整 的 整体 ， 
而 且 可 以 使 用 每 个 容器 整数 次 )。 因 此 整个 过 程 中 ,水 池 中 的 水 量 保持 整数 杯 
水 。 最 小 的 正 整数 当然 是 1。 

这 个 谜 题 的 解决 方法 不 仅仅 是 最 终 数量 “1”， 重 要 的 是 解决 该 问题 的 方 
法 (加 7 杯 3 次， 然后 减 5 杯 4 次 )。 这 个 方法 可 以 使 用 一 个 简洁 的 数学 公式 
来 表示 : 

1 一 3。7 一 4v5 

该 等 式 表示 可 以 进行 多 少 次 的 加 7 操作 (3 次 ) 和 多 少 次 的 加 5 操作 

《二 和 湛 ， 


8. 1. 1 一 个 更 复杂 的 例子 


假设 给 定 一 个 容量 为 524 杯 的 容器 和 一 个 容量 为 876 杯 的 容 髓 。 你 最 少 可 以 
在 水 池 中 留 下 多 少 杯 水 呢 ?我 们 之 前 说 过 ， 整 个 过 程 中 水 池 中 的 水 保持 整数 杯 。 
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我 们 使 用 同样 的 方法 讨论 ， 对 于 这 样 容量 的 两 个 容器 ， 水 池 中 能 留 下 水 的 杯 数 是 
4 的 倍数 。 

开始 水 池 中 有 0 杯 水 , 0 是 4 的 倍数 。 每 次 用 小 容器 向 水 池 中 倒 水 ， 会 在 水 
池 中 增加 524 杯 水 。 注 意 ，524 是 4 的 倍数 ， 所 以 把 一 个 4 的 倍数 加 到 了 4 的 信 
数 。 同 样 的 ， 每 次 用 小 容器 从 水 池 中 取水 的 时 候 ， 便 将 水 池 中 的 水 减 掉 了 524 
杯 ， 因 此 也 就 是 从 4 的 倍数 中 减 掉 了 4 的 倍数 。 大 容器 的 容量 为 876 杯 水 ， 也 是 
4 的 倍数 ， 所 以 对 于 小 容器 的 讨论 同样 适用 于 大 容器 注水 和 取水 过 程 中 。 所 以 ， 
不 管 你 怎么 做 ， 只 要 遵守 规则 ， 在 水 池 中 的 水 将 永远 是 4 的 倍数 。 

最 小 的 4 的 正 整数 倍 是 4 本 里 ， 所 以 我 们 能 希望 的 最 好 的 结果 是 留 在 水 池 中 
的 水 的 杯 数 是 4。 实 际 上 ， 我 们 可 以 精确 地 实现 下 述 结果 : 使 用 小 容器 对 水 池 进 
行 107 次 注水 ， 然 后 使 用 大 容 希 从 水 池 中 取水 64 次 ， 每 次 将 大 容器 取出 的 水 倒 人 
下 水 道 。( 你 可 能 说 这 是 浪费 水 ， 但 要 实现 精确 必须 要 有 代价 。) 在 数学 上 上， 我们 
的 技巧 可 以 写作 : 

4 = 107. 524—64. 876 


8.2 通过 解决 测量 迹 题 求 模 乘 法 逆 元 
测量 谜 题 和 模 乘 法 逆 元 有 什么 关系 呢 ? 


例 1 假设 模 数 是 7， 想 计算 5 在 模 7 下 的 乘法 道 元 。 为 了 解决 这 个 问题 ， 
拿 一 个 容量 为 7 杯 水 的 容 副 和 容量 为 5 杯 水 的 容 希 。 从 之 前 的 结果 我 们 知道 ， 
可 以 利用 这 样 的 容器 在 水 池 中 留 下 1 杯 水 。 这 种 方法 可 以 使 用 数学 公式 表达 为 : L391 
1 一 3。/ 一 4。5 
两 边 同 时 减 反 一 4。5， 得 到 
1 所 一 村 二 有 一 3 
这 个 式 子 表示 1 和 一 4。5 的 差 是 7 的 倍数 ， 也 就 是 说 ， 
一 入 wood 7) 
因此 ， 一 4 是 5 关于 模 7 的 乘法 逆 元 ， 成 功 了 ! 可 


例 2 模 数 是 782394， 需 要 找到 387451 的 模 乘 法 逆 元 。 考 虑 使 用 容量 为 
782394 和 容量 为 387451 的 容 需 的 测量 谜 题 。 绪 果 表 明 最 终 可 以 在 水 池 中 保留 
一 杯 水 ， 对 应 的 公式 是 : 

1 一 一 58490 一 782394 十 118111。387451 
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这 个 等 式 表 明 ，118111。387451 和 1 是 同 余 的 〈 因 为 它 和 1 仅仅 相差 模 数 
的 倍数 ) ， 因 此 118111 是 387451 的 模 乘 法 着 元 ， 又 一 次 成 功 了 ! 


到 目前 为 止 我 们 运气 还 不 错 。 接 下 来 的 例子 就 不 像 我 们 所 预料 的 那样 了 。 


例 3 模 数 是 876， 要 找到 524 的 模 乘 法 逆 元 ， 也 就 是 找到 整数 gqg， 使 得 
1 一 g* 524 是 876 的 倍数 。“ 一 个 876 的 倍数 ”意味 着 某 个 整数 乘 以 876 ， 让 我 
们 用 p 来 表示 这 个 整数 。 因 此 ， 为 了 成 功 ， 必 须 存在 整数 p，g 满足 1 一 g*， 524 二 
Pp， 876。 是 否 存在 这 样 的 整数 呢 ? 

对 等 式 两 边 都 加 上 gqg*524， 得 到 

1 = p. 876+g. 524 CB 1) 
存在 满足 该 等 式 的 整数 p 和 9g 意味 着 有 一 种 方法 ， 使 得 使 用 容量 为 876 和 524 
的 容器 的 测量 迹 题 恰好 只 在 水 池 中 留 下 1 杯 水 。 我 们 在 8. 1. 1 节 中 已 经 说 明 这 
是 不 可 能 的 。 因 此 524 没有 关于 模 数 876 的 乘法 逆 元 。 四 


8. 1. 1 的 讨论 归纳 如 下 。 假 设 等 式 (8. 1) 对 于 某 些 整数 p 和 9 成立， 因为 
4 是 876 和 524 的 因数 ， 因 而 也 是 p，876 十 q， 524 的 因数 。 既 然 等 式 (8.1) 
成 立 ， 那么 4 将 是 1 的 因数 ， 所 以 说 该 等 式 不 可 能 成 立 。 
8.3 欧 几 里 得 算法 

在 本 节 中 ， 我 们 将 概述 欧 几 里 得 算法 及 其 用 途 。 
8. 3. 1 欧 几 里 得 算法 计算 什么 


对 于 任何 输入 的 整数 a 和 5， 欧 几 里 得 算法 计算 三 个 整数 ;，t 和 ad， 使 其 满 
足 三 个 特性 : 


六 鹿 Ce 
d=s*atti°*b (8. 3) 
d 是 a 和 6b 的 因数 (8. 4) 


这 些 特 性 看 起 来 非常 普通 ,但 是 组 合 在 一 起 却 非常 有 力 。 它 们 可 以 使 我 们 
得 到 两 个 结论 。 我 们 现在 将 陈述 这 些 结论 以 及 相应 的 数学 证 明 。 尽 力 去 跟 上 这 
些 证 明 ， 但 是 看 不 懂 时 也 不 要 担心 。 


三 几 轩 得 摹 法 85 


结论 1 4d 是 整除 a 和 45 的 最 大 整数 。 

证 明 任何 其 他 a 和 5 的 因数 ee 同样 也 是 ;s*a 和 :1*，5 的 因数 ， 进 而 也 是 
s*a 十 t* 5b 也 就 是 d 的 因数 。 因 为 e 是 4 的 因数 ， 且 4 是正 数 ， 我 们 可 知 e 
让 于 记 。 


结论 2 d 是 使 用 容量 为 a 和 8 的 容器 的 测量 迹 题 中 所 能 在 水 池 中 留 下 的 最 小 
正 整数 杯 数 。 

证 明 考虑 任何 使 用 容量 为 & 和 2 的 容 需 的 倒 水 方案 。 假 设 使 用 了 容量 为 
a 的 容 仑 进行 了 户 次 倒 水 ， 使 用 容量 为 上 的 容 需 进行 了 gg 次 倒 水 〈 这 里 户 
和 9 可 能 是 正 整 数 、 负 整数 或 零 )。 那 么 该 方案 水 池 中 留 下 的 总 水 量 为 


力 。w 十 g。0。 

因为 4 是 a 的 因数 ， 所 以 也 是 p 。a 的 因数 。 同 样 ， 因 为 4d 是 5 的 因数 ， 
所 以 也 是 gq*，5 的 因数 。 既 然 d 是 pa 和 g*…5， 的 因数 ， 因 而 它 也 是 它们 之 
和 p*，a 十 q*b 的 因数 。 这 表示 4 是 上 面倒 水 方案 在 水 池 中 最 终 留 下 水 量 的 
一 个 因数 。 因 此 4 小 于 等 于 任何 倒 水 方案 在 水 池 中 留 下 的 水 的 杯 数 。 


因为 结论 1，4a 被 称 为 a 和 5 的 最 大 公 因 数 。 欧 几 里 得 算法 是 用 来 寻找 最 大 
公 因 数 的 算法 。 然 而 ,我们 对 欧 几 里 得 算法 得 到 的 s 和 t 也 感 兴趣 。 
。 如 果 最 大 公 因 数 是 1， 那 么 等 式 (8. 3) 表示 t 是 5 关于 模 数 a 的 乘法 
逆 元 。 
。 如 果 最 大 公 因 数 比 1 大 ， 则 结论 2 意味 着 没有 整数 p 和 9 满足 1 二 =p: 
a 十 qg* bp， 因此 5 没有 关于 模 数 a 的 乘法 逆 元 。 
在 第 7 章 中 ， 我们 介绍 了 一 个 关于 整数 a 和 5 的 最 大 公 因 数 是 1 的 术语 : 
我 们 说 a 和 2 是 互 素 的 。 因 此 ， 欧 几 里 得 算法 告诉 我 们 当 a 和 6 互 素 的 时 候 ,，6 
关于 模 数 a 的 乘法 逆 元 存在 。 


8.3.2 前 向 计算 


我 们 用 一 个 例子 来 说 明 欧 几 里 得 算法 。 假 设 有 容量 为 12 杯 水 和 容量 为 5 杯 
水 的 容 右 。 我 们 可 以 让 大 容 右 像 容 量 为 2 杯 水 的 容 需 一 样 使 用 ， 也 就 是 说 ， 可 
以 使 用 它 向 水 池 中 注入 或 盛 出 2 杯 水 。 比 如 ， 想 要 倒 人 2 杯 水 。 
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。 使 用 大 容器 从 水 龙头 中 取水 。 
。 使 用 小 容 硕 从 大 容 顺 中 取水 ， 然 后 把 小 容 需 中 的 水 倒 人 下 水 道 。 
。 再 做 一 过 前 一 步 。 
。 现在 大 容 融 中 有 2 杯 水 的 剩余 ， 然 后 把 大 容器 中 的 水 倒 人 水 池 中 。 
一 个 类 似 的 过 程 可 以 被 用 在 从 水 池 中 减少 两 杯 水 。 因 此 ， 为 了 解决 这 个 谜 
L94 | 题 ， 我 们 可 以 想象 有 一 个 虚拟 的 容量 为 2 杯 水 的 容器 和 容量 为 5 杯 水 的 容器 。 
让 我 们 来 解决 这 个 新 的 谜 题 。 
现在 ， 我 们 来 演示 容量 为 5 杯 水 的 容器 可 以 被 当 作 容量 为 1 杯 水 的 容 占 使 
用 别 忘 了 那个 虚拟 的 容量 为 2 杯 水 的 容器 )。 
。 使 用 容量 为 5 杯 水 的 容 费 从 水 龙头 中 取水 。 
。 使 用 容量 为 2 杯 水 的 容器 从 容量 为 5 杯 水 的 容器 中 取水 ， 然 后 把 取 到 的 
水 倒 和 人 下 水 道 。 
。 再 做 一 过 。 
。 现在 容量 为 5 杯 水 的 容器 中 有 1 杯 水 。 
当然 ， 现 在 我 们 知道 了 如 何 把 容量 为 5 杯 水 的 容器 当 作 容量 为 1 杯 水 的 容 
伪 使 用 。 此 时 解决 测量 谜 题 〈 在 水 池 中 留 下 最 少 的 水 ) 只 需 直 接 利 用 容量 为 1 
杯 水 的 容器 将 一 杯 水 倒 入 水 池 中 即 可 。 
让 我 们 再 尝试 男 一 个 例子 。 
假设 我 们 开始 从 44 杯 水 的 容器 和 13 杯 水 的 容器 开始 。 可 以 想象 大 容器 
是 一 个 容量 为 5 杯 水 的 容 各 (我 们 将 大 容 禹 装 满 水 ， 然 后 使 用 小 容 絮 从 
大 容 般 中 取 三 次 水 ， 大 容 需 中 将 剩 余 5 杯 水 )。 
现在 我 们 需要 解决 一 个 容量 为 13 杯 水 的 容器 和 容量 为 5 杯 水 的 容器 的 
迹 题 。 可 以 把 容量 为 13 杯 水 的 容 需 当 作 一 个 容量 为 3 杯 水 的 容 絮 进行 
使 用 (将 容量 为 13 杯 水 的 容器 装 满 水 ， 然 后 使 用 容量 为 5 杯 水 的 容器 
从 其 中 取水 两 次 )。 
现在 我 们 需要 解决 一 个 容量 为 5 杯 水 的 容器 和 容量 为 3 杯 水 的 容器 的 谜 
题 。 可 以 把 容量 为 5 杯 水 的 容 需 当 作 容量 为 2 杯 水 的 容 需 〈 将 容量 为 5 
标 水 的 容 副 装 满 水 ， 然 后 从 其 中 移出 3 杯 水 )。 
我 们 需要 解决 容量 为 2 杯 水 的 容 硕 和 容量 为 1 杯 水 的 容器 的 谜 题 。 这 是 
显而易见 的 ， 因 为 这 里 我 们 有 了 一 个 工 杯 水 的 容 需 。 
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产生 假想 容 需 的 规则 是 这 样 的 : 如 果 你 有 一 个 容量 为 工 杯 水 的 容器 和 容量 
为 y 杯 水 的 容 硕 且 z 二 >， 可 以 想象 你 有 一 个 容量 为 y 杯 水 的 容器 和 容量 为 
X rem y 杯 水 的 容 天 (Crzremy 是 工 除 以 > 之 后 的 余数 ) 。 接 下 来 ， 对 这 两 个 新 的 
容 希 使 用 同样 的 规则 ,将 容量 为 y 杯 水 的 容 需 使 用 想象 的 新 容器 替换 ， 依 次 这 
样 处 理 ， 百 到 茶 个 新 的 想象 中 的 容 硕 的 容量 为 0。 此 时 与 之 相对 应 的 容量 大 的 
容 盏 的 容量 就 是 我 们 可 以 在 水 池 中 留 下 的 水 的 最 小 杯 数 。 

我 们 可 以 再 看 一 个 例子 ,但 是 这 次 用 数字 描述 ， 而 非 杯子 数 。 

1. 从 77 和 23 开始 。77 除 以 23 余数 为 8。 新 得 到 的 两 个 数 为 23 和 8。 

2. 23 除 以 8 余数 为 7。 新 得 到 的 两 个 数 为 8 和 7。 

3. 8 除 以 7， 余数 为 1。 新 得 到 的 两 个 数 是 7 和 1。 

4. 7 除 以 1， 余 数 为 0。 新 得 到 的 两 个 数 是 1 和 0。 

我 们 在 此 处 停止 ， 推 出 在 水 池 中 可 以 留 下 的 最 少 水 量 是 1 杯 。 


8.4 欧 几 里 得 算法 的 后 向 部 分 


前 一 节 描 述 的 方法 仅仅 告诉 我 们 如 何 去 解 决 原 始 的 测量 谜 题 ， 并 没有 给 出 精 
确 的 公式 来 告诉 我 们 需要 利用 最 初 容 器 的 容量 进行 多 少 次 加 减 操作 。 为 了 得 到 这 
个 公式 ， 我 们 需要 对 计算 过 程 进行 反 推 ， 这 个 过 程 需要 执行 一 些 代 数 运算 。 

作为 第 一 个 例子 ， 我 们 重新 回顾 一 下 上 一 三 最 后 一 个 例子 。 冯 先 回 顾 之 前 
的 前 向 计算 过 程 。 每 当 提出 一 个 新 的 假想 的 容 融 时 ， 我 们 写 下 一 个 等 式 表 示 如 
何 使 用 两 个 已 经 存在 的 容 融 来 实现 这 个 想象 出 来 的 容 需 。 


前 向 计算 
77 一 3。23 二 8， 所 以 接 下 来 使 用 23 和 8 


23 一 2。8 二 7， 所 以 接 下 来 使 用 8 和 7 
8 一 1。7 王 1， 所 以 接 下 来 使 用 7 和 1 
7 除 以 1 的 余数 是 0， 因 此 停止 运算 。 





前 向 计算 表明 ， 我 们 可 以 最 终 在 水 池 中 留 下 1 杯 水 。 让 我 们 推导 一 个 公 王 
来 表示 如 何 实现 。 

使 用 《〈 虚 拟 的 ) 容量 为 7 杯 水 的 容器 和 “虚拟 的 ) 容量 为 1 杯 水 的 容 带 ， 
容易 得 到 : 


9e 
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66 煞 乡 募 


1 王 0。.7 十 1。1 
该 等 式 表示 我 们 向 水 池 中 添加 1 次 1 杯 水 和 0 次 7 杯 水 。 为 了 得 到 使 用 容量 
为 8 杯 水 的 容器 和 容量 为 7 杯 水 的 容器 如 何 留 下 1 杯 水 的 等 式 ， 我 们 使 用 等 式 
(8.7) 来 代替 上 一 等 式 中 的 最 后 一 个 1， 其 中 1 代表 最 小 想象 的 容器 的 容量 。 
1 和 0.7 十 1。(8 一 1。7) 
使 用 分 配 律 得 到 : 
一 0。7 十 1。8 一 1。1。7 
合并 乘 以 7 的 项 得 到 : 
1 王 1.8 十 (0 一 1。1)。7 
最 后 ， 化 简 括 号 中 的 表达 式 ， 最 终 得 到 : 
1 = 1»8=1»7 
(许多 获得 等 式 的 工作 我 们 早已 知道 ， 但 是 它 前 明了 一 系列 步骤 中 所 需 的 计 
算 ) 。 我 们 现在 有 了 一 个 等 式 ， 表 明 怎 样 使 用 8 杯 水 的 容 硕 和 7 杯 水 的 容 天 来 留 
下 1 杯 水 。 容 量 为 7 杯 水 的 容器 是 我 们 想象 中 的 ， 因 此 继续 使 用 等 式 (8. 6) 对 
7 进行 代 换 ， 得 到 : 
1 一 1。8 一 1。(23 一 2 。8) 
使 用 分 配 律 得 到 : 
1 一 1.8 一 1.23 一 1。( 一 2) 。8 
合并 乘 以 8 的 项 得 到 : 
1 = 一 1。23 十 (1 十 2)。8 
化 简 括 号 中 的 表达 式 得 到 : 
1 一 一 1。23 十 3 。8 
我 们 有 了 一 个 等 式 ， 表 明 怎 样 使 用 23 杯 水 的 容器 和 8 杯 水 的 容器 来 留 下 1 
杯 水 。 容 量 为 8 杯 水 的 容器 是 我 们 想象 中 的 ， 因 此 继续 使 用 等 式 (8. 5) 对 8 进 
行 代 换 ， 得 到 : 
1 一 一 1。23 十 3。(77 一 3。23) 
合并 乘 以 23 的 项 得 到 : 
1 一 3。77 十 (一 1 十 3。( 一 3))。23 
化 简 得 到 : 
1 = 3。77=10%23 


197 | 就 是 我 们 最 终 想 要 的 等 式 。 
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让 我 们 再 看 一 个 例子 ， 这 次 减少 解释 。 我 们 可 以 从 容量 为 876 和 524 开始 。 


前 向 计算 


876 一 1。524 一 352 
524 一 1。352 一 172 
352 一 2。172 一 8 
172 一 21。8 一 4 
8 一 2 .4 一 0 
此 时 计算 终止 ， 因 为 余数 已 经 是 0 了 。 





在 0 之 前 计算 得 到 的 最 后 一 个 数 4, 是 876 和 524 的 最 大 公 因 数 。 回 顾 一 
下 ， 因 为 4 比 1 大 ， 我们 可 知 524 没有 关于 模 876 的 乘法 道 元 。 


后 向 计算 
4 一 0。8 十 1。4 ”使 用 等 式 (8. 11) 对 4 进行 代 换 
。8 十 1。(172 一 21。8) 
。172 十 (0 一 1。21) 。 
。172 一 21.8 ”使 用 等 式 (8. 10) 对 8 进行 代 换 
“172—21 《035 一 2 172) 
一 红 。352 十 (1 一 虹 (一 区 J 172 


= 一 多 

4 一 一 21。532 十 43。 172 ”使 用 等 式 (8. 9) 对 172 进行 代 换 
一 一 2 352 十 43 (B24— 1 “352) 
3 4 Dad t—211 4 €—1)) = S62 

4 二 43。524 一 64。352 使 用 等 式 (8. 8) 对 352 进行 代 换 
一 43。524 一 64。(876 一 1。524) 


一 8 一 人 
一 一 64.876 十 107。524 





Co 


.5 欧 几 里 得 卡片 
管 


尽管 欧 几 里 得 算法 的 步 又 非常 简单 ,但 是 非常 容易 让 人 疑惑 。 为 了 帮助 你 
现 这 些 步骤， 我 们 引入 一 些 指 导 你 行动 的 卡片 。 你 可 以 在 前 向 计算 的 每 一 步 
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ss 
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[98] 中 使 用 一 张 卡 片 。 
卡片 看 上 去 像 下 面 的 样子 : 





在 卡片 的 项 部 ， 有 两 个 标注 着 大 输入 和 小 输入 的 空格 。 可 以 将 容器 的 容量 
写 在 这 些 空格 中 (比如 77 和 23)。 在 下 一 行 中 ， 有 两 个 空格 可 以 填写 商 〈( 由 大 
输入 被 小 输入 除 得 到 ) 和 余数 。 这 给 出 前 向 计算 的 一 个 等 式 ， 也 就 是 77 王 3。 
23 十 8， 卡 片 变 成 如 下 样子 。 





注意 到 箭头 方向 从 卡片 右边 的 小 输入 和 余数 开始 。 这 些 箭头 表示 这 两 个 数 
应 该 被 拷贝 到 男 一 张 卡片 上 ; 新 的 卡片 的 左边 应 该 连接 到 旧 卡 片 的 右边 ， 这 样 
束 将 前 头 连接 起 来 了 。 





现在 你 已 经 准备 好 去 求 23 除 以 8 之 后 的 商 和 余数 ， 从 而 得 到 前 向 计算 中 的 
第 二 丫 等 式 。 
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计算 最 终 将 得 到 23 和 8 的 乘 数 ， 即 需要 乘 到 23 和 8 上 以 得 到 1 的 数字 。 
它们 最 终 可 以 写 在 相应 卡片 的 最 后 一 行 。 





在 这 个 例子 中 ， 对 于 23 和 8 的 乘 数 分 别 是 一 1 和 3。 应 该 将 这 两 个 值 找 贝 
到 第 一 个 卡片 中 标记 为 * 和 /的 空格 中 。 现 在 可 以 从 s 和 + 得 到 77 和 23 的 乘 数 。 
公式 由 卡片 中 给 出 : 77 的 乘 数 就 是 上 (这 里 是 3)，23 的 乘 数 是 :一 上 商 ， 也 就 
是 〈 一 1) 一 3。3， 因 为 在 第 一 个 卡片 中 商 是 3。 因 此 可 以 将 3 和 一 10 写 人 第 一 
个 卡片 中 的 最 后 一 行 。 





在 前 向 计算 的 最 后 一 步 ， 当 小 输入 是 0 的 时 候 有 一 个 特殊 的 卡片 。 这 个 特 
丈 卡 片 提供 的 乘 数 分 别 是 1 和 0。 





最 后 一 张 卡片 中 的 大 输入 就 是 两 个 原始 输入 的 最 大 公 因 数 。 
我 们 给 出 一 个 使 用 欧 几 里 得 卡片 完整 计算 的 例子 ， 还 有 空 昌 的 欧 几 里 得 卡 
片 以 便 你 复制 使 用 。 


Ca 
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寺 斗 梁 斗 目 米 
又 张 





菊 几 田 得 车 法 


来 自 下 张 卡片 
为 本 张 卡片 


来 自 下 张 卡 片 
为 本 张 卡 


来 自 下 张 卡 片 
为 本 张 卡片 
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油 
SN 
地 
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来 自 下 张 卡片 
为 本 张 卡 


小 输入 


最 大 公 因 数 





8.6 欧 几 里 得 算法 教会 我 们 什么 


我 们 在 8. 3. 1 节 末 尾 中 看 到 ， 一 个 整数 5 存在 模 a 的 乘法 逆 元 ， 当 且 仅 当 a 
和 5 互 素 。 当 这 个 条 件 成 立 的 时 候 ， 更 进一步 地 ， 欧 几 里 得 算法 可 以 为 我 们 计 

103| 算 相 应 的 乘法 逆 元 。 

那 又 怎样 呢 ? 让 我 们 回顾 第 4 章 的 4. 3.4 节 ， 对 于 一 个 模 数 mm， 可 以 通过 
制作 一 个 模 m 元 素 代表 元 的 乘法 表 找 到 乘法 逆 元 。 既 然 这 样 ， 为 什么 还 需要 欧 
几 里 得 算法 呢 ? : 

这 里 有 两 个 原因 ， 一 个 是 计算 上 的 ， 另 一 个 是 数学 上 的 。 

。 欧 几 里 得 算法 的 计算 需求 : 当 m 很 大 的 时 候 ， 制作 模 mx 乘法 表 是 非常 

不 切实 际 的 。 欧 几 里 得 算法 为 计算 乘法 逆 元 提供 了 一 种 计算 捷径 。 在 第 
13、14 章 ， 我 们 将 讨论 依赖 于 计算 大 模 数 乘法 道 元 的 密码 方案 。 

。 欧 几 里 得 算法 的 数学 需求 : 模 乘法 逆 元 存在 性 〈 也 就 是 互 素 性 ) 的 数学 
判定 准则 可 以 帮助 我 们 设计 密码 方案 。 在 下 一 章 ， 我 们 将 介绍 基于 模 乘 
法 逆 元 存在 性 的 密码 方案 。 通 过 要 求 模 数 必须 是 素数 来 避免 乘法 逆 元 不 
存在 的 问题 。 


8. 


一 一 


UT 


Oy 


~] 


OO 
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7 思考 题 


. 对 下 列 问 题 ， 通 过 互 素 性 来 判断 模 乘 法 逆 元 是 否 存 在 。 


(a) 6 关于 模 数 7 的 逆 元 ? 
(b) 14 关于 模 数 7 的 逆 元 ? 
(c) 4 关于 模 数 25 的 道 元 ? 
(d) 5 关于 模 数 25 的 逆 元 ? 
(e) 21 关于 模 数 24 的 闭 元 ? 


. 回忆 第 7 章 中 欧 拉 函数 内 容 ， 拥 有 模 $8(21) 乘法 逆 元 的 大 于 1 的 正 整数 是 什么 ? 
. 考虑 整数 18 和 15。 


(a) 两 个 数 的 最 大 公 因 数 是 什么 ? 
(b) 给 两 个 整数 和 上 赋值 ， 使 得 最 大 公 因 数 等 于 s，18 十 +:，。15。 


. 考虑 整数 70 和 40。 


(a) 两 个 数 的 最 大 公 因 数 是 什么 ? 
(b) 给 两 个 整数 * 和 :上 赋值 ， 使 得 最 大 公 因 数 等 于 s*70 十 t+， 40。 


. 对 于 输入 为 55 和 24 的 欧 几 里 得 卡片 ， 找 到 最 大 公 因 数 以 及 整数 ;、t:， 使 得 最 


大 公 因 数 等 于 s。55 十 1:。24，, 


. 对 于 输入 为 259 和 105 的 欧 几 里 得 卡片 ， 找 到 最 大 公 因 数 以 及 整数 s;、t， 使 得 


最 大 公 因 数 等 于 *。259 十 上。105。 


. 对 于 输入 为 34 和 21 的 欧 几 里 得 卡片 ， 找 到 最 大 公 因 数 以 及 整数 ;、t， 使 得 最 


大 公 因 数 等 于 s。34 十 :。21。 


. 使 用 欧 几 里 得 卡片 找到 3 关于 模 数 394820020 的 乘法 逆 元 。 


104 


第 9 章 | 


A _ Cryptography Primer: Secrets and Promises 


元 美 保密 的 菜 些 应 用 





从 第 6 章 可 以 清楚 地 知道 完美 保密 在 加 密 中 是 非常 有 用 的 。 这 个 概念 在 构 
造 其 他 密码 学 构建 模块 中 也 是 很 有 用 的 。 在 本 曹 中， 我 们 讨论 两 个 例子 。 


9.1 秘密 分 享 与 完美 保密 


完美 保密 的 概念 可 用 于 将 一 个 秘密 在 密码 学 意义 上 “ 拆 分 ”成 两 部 分 。 
一 部 分 可 以 给 一 个 不 同 的 人 。 仅 通过 自己 接收 到 的 部 分 ， 每 个 人 对 秘密 都 一 无 
所 知 ， 只 有 两 个 人 一 起 才 可 以 重 构 秘 密 。 

试想 一 下 ， 假 如 银行 行 长 想 将 保险 柜 密 码 给 两 个 副 行 长 〈 以 防 有 一 天 行 长 
不 在 时 ， 保 险 柜 可 以 打开 )， 但 是 想 让 他 们 只 有 联合 起 来 才能 使 用 。 他 可 以 使 
用 秘密 分 享 来 将 密码 拆 分 给 两 个 副 行 长 。 

令 f(clear，key) 是 一 个 完美 安全 密码 系统 的 加 密 函 数 。 我 们 将 使 用 这 个 
密码 系统 拆 分 秘密 。 选 择 何 种 密码 系统 不 是 一 个 秘密 ， 假 设 大 家 都 知道 选择 的 
密码 系统 。 密 人 码 系统 的 选择 限制 了 被 分 享 的 秘密 的 选择 ， 这 些 秘密 必须 是 密码 
系统 的 可 能 明文 之 一 。 

令 * 为 被 分 享 的 秘密 。 在 所 有 可 能 的 密 钥 中 随机 均匀 选择 一 个 密 钥 &。 密 铀 
使 用 密 钥 加密 s。 密 文 f(s,k) 作为 提供 给 第 
二 个 人 的 部 分 。 每 一 个 部 分 自己 不 能 提供 关于 秘密 的 信息 : (1) 不 管 秘密 * 是 
什么 ， ete 因为 密 钥 就 是 这 样 选择 的 ; (2) 不 管 秘密 
是 什么 ， 密 文 的 概率 分 布 是 均匀 的 ， 因 为 密码 系统 是 完美 保密 的 。 然 而 ， 两 个 
人 一 起 能 解 开 秘密 : 用 密 钥 解密 密 文 。 

例 6 令 和 是 模 数 ， 考 虑 一 个 密码 系统 ， 其 加 密 师 数 是 

fcdear,key) = clear — key (mod m) 

令 s 是 0 至 x 一 1 之 间 的 一 个 秘密 数字 。 对 于 一 个 随机 密 钥 &， 秘 密 的 第 一 部 

分 是 k&， 第 二 部 分 是 ;一 k 的 模 m 代表 元 。 因 此 两 个 部 分 的 和 模 mm 就 是 秘密 。 量 
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秘密 能 在 任意 数量 的 人 中 拆 分 。 假 设 秘密 必须 在 四 个 人 之 间 分 时 。 随 机 
选择 一 个 密 钥 忆 并 且 把 它 提供 给 第 一 个 人 。 令 cl 为 用 密 钥 包 加 密 * 得 到 的 密 
文 。 现 在 秘密 ci 一 定 要 在 剩余 的 三 人 之 间 分 享 。 再 随机 选择 一 个 密 钥 有 并且 所 
供给 第 二 个 人 。 让 cz 作为 用 密 钥 如 加 密 cl 得 到 的 密 文 。 现 在 必须 要 在 剩余 的 
两 人 之 间 分 享 。 随 机 选择 一 个 密 钥 如 并 且 将 它 提供 给 第 三 个 人 。 最 终 ， 将 通过 
密 钥 名 加 密 密 文 c3 得 到 的 密 文 a 给 第 四 个 人 。 


例 6a 使 用 例 6 中 的 密码 系统 将 秘密 ;在 四 个 人 之 间 拆 分 ， 我 们 最 终 得 到 
的 部 分 是 四 个 模 m 代表 元 ， 它 们 的 和 模 mx 即 为 秘密 s。 区 

当然 ， 人 们 可 以 分 享 比 加 密 系 统 所 允许 的 明文 的 长 度 还 要 大 的 秘密 : 简单 
地 把 这 个 秘密 用 一 种 普通 的 方法 分 成 好 多 分 组 〈 比 如 ， 第 一 个 分 组 是 秘密 的 前 
五 个 符号 ， 以 此 类 推 )， 然 后 把 每 一 组 秘密 分 别 进 行 分 孕 。 


9.2 门限 秘密 分 享 


上 述 秘 密 分 享 的 形式 是 非常 基本 的 。 一 个 在 众人 中 拆 分 秘密 且 更 有 用 的 方 
法 被 称 为 门限 秘密 分 享 。 我 们 的 银行 行 长 现在 有 五 位 副 行 长 ， 他 需要 把 秘密 拆 
分 给 他 们 。 然 而 ， 她 还 想 允 许 副 行 长 中 任何 两 个 人 能 重 构 秘密 。 在 这 种 情况 
下 ， 我 们 称 门 限 为 2。 门限 秘 密 分 享 允 许 她 将 秘密 拆 分 给 五 位 副 行 长 ， 任 何人 
不 能 单独 确定 秘密 ， 但 是 只 要 有 两 个 人 就 能 准确 地 重 构 秘密 。 在 模 算 术 中 我 们 
也 使 用 直线 方程 。 在 传统 算术 中 ， 一 个 直线 方程 的 形式 是 

y= 二 A.。Zz++B 
这 就 是 说 ， 满 足 该 等 式 的 对 子 (zx,y) 的 集合 形成 一 条 和 直线。 通常 ，A 叫 作 下 
线 的 斜率 〈 它 决定 直线 的 陡峭 度 ) ， 而 吾 叫 作 直 线 的 y 轴 截 距 ( 它 决定 直线 在 y 
轴 相 交 的 位 置 。 点 〈0,B) 是 直线 与 > 轴 的 交点 。) 

我 们 将 使 用 相同 的 想法 ， 但 是 将 它 与 模 算 术 结 合 。 比 如 说 ， 我 们 的 模 7 
是 素数 〈 见 第 7 章 ) ， 其 原因 将 在 后 面 的 章节 中 提 到 。 在 模 算 术 中 ， 下 线 的 方 
程 是 

yy 三 A .并 十 有 已 (mod77) 

这 条 “ 线 ” 由 对 子 (x，y) 的 集合 组 成 ， 使 得 zx 和 y 是 模 m 的 代表 元 ， 并 
且 它 们 满足 这 个 方程 。 

因为 是 模 算 术 ， 这 样 一 条 直线 看 起 来 很 有 意思 。 例如， 对 于 模 m 二 17， 
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图 9. 1 描绘 了 由 下 列 方程 定义 的 直线 : 
YE3。Z 十 5 (mod 17) 





3 3 3 验 志和 个 


图 9.1 方程 为 y 三 3，x 十 5 (mod 17) 的 直线 


下 面 讨论 如 何 用 模 直 线 分 享 一 个 秘密 的 数字 。 首 先 选 择 一 个 模 数 mm， 它 要 
足够 大 ， 超 过 所 有 你 可 能 会 共享 的 秘密 值 。 我 们 将 模 数 作为 系统 的 一 部 分 ， 它 
是 公共 知识 (回想 一 下 Kerckhoffs 原则 )。 然 后 ， 在 模 m 的 代表 元 中 秘密 地 、 
随机 均匀 地 选择 直线 的 斜率 A。 最 后 ， 令 被 分 享 的 秘密 数字 作为 y 轴 截 距 B。 
为 了 分 享 秘密 ， 给 一 号 副 行 长 点 (1，A，。 1 十 B), 给 二 号 副 行 长 点 (2, A。… 
2 十 B)， 给 三 号 副 行 长 点 (3，A。 3 十 B)、。 以 此 类 推 。 

首先 我 们 讨论 为 什么 一 个 副 行 长 不 能 单独 确定 秘密 。 他 唯一 得 到 的 信息 是 
一 对 模 m 的 数 (X，Y) ， 其 中 X 不 为 0。 他 的 目标 是 确定 秘密 ， 这 个 秘密 是 经 
过 他 的 点 (X，Y) 的 某 条 直线 的 > 轴 截 距 。 然 而 ， 有 许多 直线 通过 他 的 点 。 事 
实 上 ， 对 每 一 个 模 m 代表 元 8， 都 有 一 条 穿 过 (X，Y) 的 直线 ， 其 y 轴 截 距 是 
B。 因 此 一 个 副 行 长 不 能 自己 排除 模 m 任何 代表 元 ， 基 于 他 所 拥有 的 知识 ， 这 
些 代 表 元 中 的 任何 一 个 都 可 能 是 秘密 。 

为 了 证 明 这 一 点 ， 我们 只 需 说 明 存 在 一 条 直线 穿 过 (0, pB) 和 (〈X，Y) 
两 点 。 你 可 能 记得 如 何 求 出 经 过 两 个 点 的 直线 方程 ， 使 用 那个 公式 ， 会 得 到 
方程 

y 一 ((Y 一 D)/X)z 十 B (9. 1) 

利用 代数 知识 ， 可 以 将 两 个 点 代入 方程 ， 并 验证 它们 都 满足 这 个 方程 。 因 
此 ， 确 实 存在 一 条 直线 穿 过 (X，Y) 且 > 轴 截 距 为 8。 无论 8 的 值 是 什么 ， 这 
都 是 正确 的 。 
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让 我 们 用 一 个 非常 小 的 模 数 m= 二 7 举 个 例子 。 假 设 秘密 值 是 4。 银 行 行 长 从 
0，1，2，3，4，5，6 中 随机 选择 一 个 和 斜率， 假设 她 选择 了 2， 则 直线 方程 为 
y 三 2zxz 十 4 (mod 7) 

接 下 来 她 计算 要 分 给 副 行 长 的 点 。 对 于 第 一 个 副 行 长 ， 她 计算 点 (1， 
2。1 十 4)， 也 就 是 (1，6)， 并 把 这 个 点 分 给 第 一 个 副 行 长 ; 接着 她 计算 第 二 
个 副 行 长 的 点 (2，2 .2 十 4)， 即 〈2，1) (记得 ,我 们 在 做 模 7 运算 )， 她 将 
(2，1) 给 第 二 个 副 行 长 ; 她 继续 计算 第 三 个 副 行 长 的 点 〈3，2。3 十 4)， 即 
(3，3); 类 似 地 ， 第 四 个 副 行 长 得 到 (4，5)， 第 五 个 副 行 长 得 到 (5，0)。 

假设 第 四 个 副 行 长 想 试 着 自己 计算 出 保险 柜 密码 (当然 ， 由 于 模 数 很 小 ， 
他 只 需要 尝试 七 个 可 能 ， 但 在 实际 应 用 中 的 模 数 比 这 个 大 很 多 ) 。 他 想 求 出 那 
条 通过 他 的 点 (4，5) 的 直线 方程 ， 以 便 计算 出 > 轴 截 距 ， 即 秘密 的 保险 柜 
密码 。 

“y 轴 截 距 能 为 0 吗 ?” 他 自己 想到 。 他 参照 等 式 (9.1) 以 得 到 穿 过 (0， 
0) 和 (4，5) 的 直线 方程 ， 得 到 

y= (5/4) 工 十 0 
因为 我 们 做 模 7 的 运算 ，4 的 乘法 逆 元 是 2(4。2 王 1)， 因 此 5/4 的 值 是 5，2， 
即 3。 因 此 他 得 到 等 式 
yy 一 3Zz 十 0 

他 自己 认为 “点 (0, 0) 和 (4，5) 确实 满足 该 方程 ， 因 此 那 条 秘密 直线 
的 > 轴 截 距 可 能 为 0。” 

“y 轴 截 距 能 为 1 吗 ?” 他 自己 想到 。 再 次 使 用 等 式 9. 1， 他 获得 穿 过 点 (0， 
1) 和 (4，5) 的 直线 方程 

y= 三 (4/4)z 十 1 
他 把 方程 重 写 为 

y= ]% 和 十 1] 
并 且 意 识 到 , “点 (0，1) 和 (4，5) 事实 上 满足 该 方程 ， 因 此 那 条 秘密 直线 
的 > 轴 截 距 可 能 为 1”。 

“y 轴 截 距 能 为 2 吗 ?” 他 重复 相同 的 过 程 并 且 最 终 得 到 方程 
y 一 2z 十 4 

(这 个 方程 是 真正 的 秘密 直线 ， 但 是 我 们 的 副 行 长 并 不 知道 。) 他 得 出 结论 ， 秘 
密 可 能 是 2。 
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“y 轴 截 距 能 为 3 吗 ? 能 为 4 吗 ? 能 为 5 吗 ? 能 为 6 吗 ?” 这 个 副 行 长 依次 
把 这 些 可 能 性 都 考虑 了 一 和 过。 对 于 每 一 种 情况 ， 他 都 设法 构造 一 条 合理 的 直 
线 ， 穿 过 他 的 点 〈4，5)， 并 且 有 假定 的 y 轴 截 距 。 他 相信 0，1，2，3，4，5， 
6 都 是 可 能 的 y 轴 截 距 ， 因 此 他 不 能 排除 任何 一 种 可 能 性 : 他 自己 的 点 并 不 能 
帮助 他 了 解 关 于 秘密 的 任何 信息 。 

最 后 ， 我 们 说 明 两 个 副 行 长 一 起 可 以 准确 计算 出 秘密 值 。 两 个 副 行 长 一 起 
可 以 提供 两 个 不 同 的 点 ， 因 此 他 们 能 求 出 通过 这 两 点 的 直线 方程 。 一 旦 有 了 方 
程 ， 他 们 就 能 确定 y 轴 截 距 。 

例如 ， 假 设 副 行 长 1 和 副 行 长 3 合法 地 一 起 来 确定 秘密 。 副 行 长 1 有 点 
(Xi ,Zi) 一 (1,6)， 副 行 长 3 有 点 (Xs,Ys) 王 (3,3)， 通 过 这 两 点 的 直线 斜率 为 
(Y= AR 一 7 团 (8 一 3 一 3 驱 在 6 一 3 得 3， 上 和 目 T 了 了 是 Saod 
7) ， 因 此 斜率 是 3/5。5 的 乘法 道 元 是 3， 所 以 3/5 就 是 3。3， 即 2。 因 此 他 们 
确定 了 斜率 是 2。 现 在 他 们 知道 秘密 直线 的 方程 具有 形式 


y 三 2Z 二 8B 
因为 直线 穿 过 他 们 的 点 ， 他 们 能 代入 一 个 他 们 的 点 (如 点 〈1，6)) 得 到 
6 一 -21 十 万 


从 这 个 方程 他 们 可 以 确定 秘密 B 是 4。 

我 们 已 经 展示 了 如 何在 多 个 人 中 分 享 秘密 ， 以 使 任意 两 个 人 都 可 以 重 构 
秘密 。 此 方案 中 的 门限 被 认为 是 2。 该 技术 能 被 一 般 化 ， 以 实现 任何 需要 的 
门限 值 。 例 如 ， 假 设 有 七 个 副 行 长 ， 且 行 长 想 让 他 们 中 的 任意 五 个 人 能 一 起 
确定 秘密 。 她 将 采取 门限 为 5 的 方案 。 这 将 使 用 同样 的 计算 ， 但 具体 细节 超 
出 了 本 书 的 范围 。 


9.3 消息 认证 码 


门限 秘密 分 享 中 用 到 的 想法 可 以 应 用 到 消息 认证 码 (Message Authentica- 
tion Code，MAC) 中 ， 这 是 一 个 检测 通过 不 安全 信道 发 送 的 消息 是 否 被 改变 的 
让 苇 ， 

假设 Alice 需要 向 Bob 发 送 一 条 消息 。 他 们 不 关心 是 否 有 人 读 到 这 个 消息 
(可 能 他 们 已 经 对 它 加 密 了 )， 然 而， 他 们 想 保证 Bob 收 到 由 Alice 发 送 的 准确 
消息 。 如 果 他 们 通过 不 安全 信道 发 送信 息 ， 则 不 能 保证 没有 人 算 改 消息 ,但 是 
他 们 能 采取 措施 识别 消息 是 否 被 改变 。 
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假定 m 是 一 个 素数 模 ， 且 比 任何 可 能 发 送 的 信息 都 大 。 假 定 m 是 系统 的 一 
部 分 且 是 公开 的 。 此 外 假设 Alice 和 Bob 之 前 协商 了 一 个 密 钥 ， 即 一 对 随机 均 
匀 选 择 的 模 m 数 A 和 B。 没 有 其 他 人 知道 数字 A 和 B。 

现在 Alice 想 将 消息 X 发 送 给 Bosb， 她 发 送 这 个 消息 的 同时 发 送 值 了 = 
AX 十 B ( 按 模 m 计 算 ), Y 就 是 消息 X 的 消息 认证 码 。 

消息 通过 被 Eve 控制 的 一 台电 脑 ，Eve 因此 获得 消息 X 和 相应 的 消息 认证 
码 Y。 在 将 这 些 信息 发 送 给 Bob 之 前 ， 她 可 能 修改 也 可 能 不 修改 它们 。 令 Xi 
和 Y! 是 Eve 传送 给 Bob 的 消息 和 消息 认证 码 的 版 本 。 

Bob 收 到 两 个 数字 ， 未 定 真 假 的 消息 XI 和 未 定 真 假 的 消息 认证 码 到 。 为 了 
确定 它们 是 和 否 被 改变 ， 他 将 检验 (XI ，Yl1) 是 否 位 于 下 述 直线 上 : 

y 一 Azr 十 也 
如 果 不 是 ， 他 拒绝 它们 ， 因 为 它们 与 Alice 发 送 的 不 一 致 。 如 果 它 们 在 那 条 直 
线 上 ， 他 假定 它们 未 被 改变 。 
Eve 如 何 骗 Bob 呢 ? 如 果 她 想 改 变 消息 的 内 容 〈 比 如 她 想 发 送 不 同 于 X 的 
， 她 必须 相应 地 修改 消息 认证 码 以 使 Bob 接受 修改 的 信息 。 然 而 ， 她 不 知 
道 修改 后 的 消息 XI 的 消息 认证 码 会 是 什么 。 

Eve 所 知道 的 只 有 点 〈X，Y) 位 于 那 条 秘密 直线 上 。 为 了 使 Bob 接受 她 修 
改 后 的 消息 /消息 认证 码 对 (X!，Y1)， 她 需要 确定 这 个 点 也 在 直线 上 。 正 确 的 
Y! 值 是 什么 呢 ? 

“ 值 能 为 0 吗 ?”Eve 想 。 这 意味 着 秘密 直线 经 过 点 (X,Y ) 和 (XI，0)。 
的 确 有 这 样 一 条 线 ， 因 此 Eve 认 为 Yi 的 正确 值 可 以 为 0。“ 值 能 为 1 吗 ?” 确 实 
有 一 条 直线 经 过 点 (X,Y) 和 〈X!，1)， 因 此 ，Eve 想 ， 或 许 Y! 的 正确 值 是 
1。 类 似 地 ， 任 何 模 m 代表 元 都 可 能 是 正确 值 。 

事实 上 ， 由 于 A 和 B 是 随机 均匀 选取 的 ， 因 而 Eve 需要 用 到 的 到 的 值 也 
同样 是 随机 均匀 选取 的 。 因 此 无 论 Eve 如 何 猜测 Yi1， 她 有 1/m 的 可 能 猜 对 。 对 
一 个 较 大 值 mw 比如 1022)， 这 种 可 能 性 是 小 到 可 以 被 忽略 的 。 即 使 尝试 百 万 
次 ，Eve 也 不 能 猜 到 正确 的 数字 。 


9.4 思考 题 


1. 你 公司 中 的 每 一 个 雇员 都 为 登录 电脑 系统 选择 一 个 口令 。 最 近 ， 你 的 公司 决 
定 每 个 雇员 的 口令 都 应 该 被 分 享 于 其 他 两 个 雇员 ， 以 防 万 一 。 每 个 口令 都 能 
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用 0 到 9999 中 的 数字 表示 。 你 的 工作 是 选择 秘密 分 享 方案 。 你 可 以 假设 ， 
除非 紧急 情况 下 ， 持 有 同事 口令 份额 的 两 个 员工 不 会 合谋 得 到 他 们 同事 的 口 
令 。 你 咨询 你 的 三 个 下 属 Larry、Moe 和 Curly。 

。 Larry 说 : 

“对 每 个 被 分 享 的 秘密 口令 s， 从 0 到 9999 均匀 选择 一 个 随机 数字 5。 数 
字 0 是 第 一 个 份额 。 让 c==s 一 6b (mod 10000)， 数 字 c 是 第 二 个 份额 。” 
Moe 说 : 

“我 同意 Larry 的 建议 ， 除 了 一 件 事情 一 一 如 果 随 机 数 5 是 0， 则 份额 c 和 
秘密 是 相同 的 。 这 非常 不 安全 ! 因此 我 建议 从 1 到 9999 中 均匀 选择 数字 
b5， 而 不 是 从 0 到 9999 中 选择 。” 

Curly 说 : 

“我 同意 Moe 的 建议 ， 除 了 一 件 事 情 。 如 果 随 机 数 5 小 于 10， 那 么 份额 c 
可 能 会 和 秘密 s 有 相同 的 百 位 数 和 千 位 数 ， 这 非常 不 安全 ! 因此 我 建议 数 
字 8 应 该 均匀 地 从 10 到 9999 中 选择 。” 

谁 的 方案 是 最 安全 的 ， 为 什么 ? 特别 地 ， 考 虑 一 个 人 收 到 份额 < 后 ， 因 此 能 
获得 关于 秘密 * 的 信息 有 多 少 。 


. 为 了 在 紧急 情况 下 CS007 型 保密 柜 的 密码 可 用 ， 每 个 助教 被 分 给 秘密 的 一 部 


分 。 秘 密 由 四 个 mod 7 的 分 组 组 成 。 对 于 每 一 个 数字 ，Klein 教授 选择 一 个 
mod 7 直线 ， 它 的 斜率 是 秘密 数字 ， 而 y 轴 截 距 是 随机 选择 的 。 对 于 每 一 条 
线 ，Klein 教授 为 每 个 助教 提供 一 个 点 (z+，y)。 因 此 ，Kevin 从 四 条 直线 中 
每 条 直线 得 到 一 个 点 (假设 是 z 坐标 为 1 的 点 )，Mark 从 四 条 直线 中 每 条 直 
线 得 到 一 个 点 (假设 是 xz 坐标 为 2 的 点 )，Sheryl 从 四 条 直线 中 每 条 直线 得 
到 一 个 点 (点 的 工 坐标 是 3)。 由 于 安全 上 的 玖 忽 ， 你 偶然 获得 了 几 个 y 坐 
标 ， 如 下 表 所 示 。 


第 一 个 分 组 第 二 个 分 组 第 三 个 分 组 第 四 个 分 组 
Kevin (x=1) 4 6 2 
Mark (zx=2) 2 1 
Sheryl (x=3) 3 1 


(a) 给 出 可 以 从 给 定 的 信息 中 推断 出 来 的 每 个 秘密 分 组 ， 展 示 你 的 工作 。 
(b) 对 于 不 可 以 从 给 定 的 信息 中 推断 出 来 的 每 个 秘密 分 组 ， 告 诉 我 们 为 什么 
不 能 确定 ， 并 且 告 诉 我 们 分 组 的 可 能 值 是 多 少 。 
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. 你 已 经 看 到 了 门限 秘密 分 享 方 案 : 应 该 分 享 秘密 的 人 在 直线 上 得 到 一 个 
点 ， 且 秘密 是 直线 的 y 轴 截 距 。 au 假设 你 
和 为 一 个 人 打算 一 起 组 合 出 密 钥 。 你 的 点 是 x 二 4，y 王 8， 而 你 的 伙伴 的 点 
是 x 二 5，y 二 0， 模 数 是 11， 秘 密 是 多 少 ? 
. 在 本 问题 中 我 们 要 使 用 MAC (消息 认证 码 )。 这 个 问题 的 模 数 是 11。Alice 
和 Bob 预先 协商 了 一 个 密 钥 ， i 因此 MAC 瑞 
数 为 

A = 环 主 才 
所 以 当 Alice 发 送 一 个 消息 X 时 ， 她 应 该 在 消息 中 附加 消息 认证 码 f(X)。 

如 果 Alice 和 Bob 加 以 小 心 ， 他 们 知道 仅 当 密 钥 只 使 用 一 次 时 ，MAC 才 
是 安全 的 。 不 幸 的 是 ， 他 们 忽略 了 这 一 事实 ， 他 们 发 送 两 个 不 同 的 信息 及 
MAC 码 ， 这 两 个 MAC 码 产 生 于 相同 的 密 钥 (相同 的 一 对 数 a 和 5)。 你 
( 即 Eve) 截获 了 这 些 消息 和 消息 认证 码 : 

消息 : 4，MAC: 5 

消息 : 1，MAC: 9 

你 决定 算 改 第 二 条 信息 ， 将 其 改 成 3。 这 条 伪造 的 消息 需要 伴随 什么 样 

的 MAC 才能 让 Bob 相信 这 是 合法 的 ? 
. Alice 打算 给 Bob 发 送 一 条 消息 并 附带 一 个 消息 认证 码 〈 生 成 一 个 消息 认证 
码 的 方法 就 是 本 文 描 述 的 那个 )。 他 们 提前 协商 好 一 个 随机 均匀 的 密 钥 用 于 
MAC。 消 息 将 被 明文 发 送 。 可 能 的 消息 集合 为 0，1，…，12， 可 能 的 MAC 
集合 也 为 0，1，…，12。 用 模 数 13 计算 MAC 的 值 。 

Eve 打算 截获 消息 和 消息 认证 码 ， 并且 发 送 她 自己 的 〈 假 ) 消息 ， 即 
12。 她 必须 选择 一 个 假 的 消息 认证 码 匹配 这 条 消息 ， 和 希望 思 弄 Bob， 使 其 
相信 假 消 息 是 Alice 发 送 给 他 的 。 因 此 她 需要 知道 匹配 消息 12 的 MAC 的 
概率 分 布 〈 也 就 是 ， 如 果 Alice 发 送 消 息 12， 那 么 什么 概率 分 布 的 消息 认 
证 码 将 会 匹配 这 条 消息 呢 ?) Eve 知道 计算 MAC 的 密 钥 是 被 随机 均匀 选 
择 的 。 

在 下 面 的 每 一 种 场景 中 ， 帮 助 Eve 找到 用 于 匹配 假 消息 的 MAC 值 的 概 
(a) Eve 必须 在 看 见 真 消息 和 真 的 消息 认证 码 之 前 选择 她 的 假 的 MAC。 给 出 

匹配 消息 12 的 MAC 的 分 布 。 


沾 
让 
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概率 


0 12 34 56 789101112 
与 消息 12 匹 配 的 MAC 


(b) Eve 截获 真实 的 消息 1 以 及 与 之 匹配 的 消息 认证 码 2。 给 出 Eve 现在 知 
道 的 ， 描 述 出 匹配 消息 12 的 MAC 的 分 布 。 


概率 


人 12 6789 和 001 
与 消息 12 匹 配 的 MAC 


(c) Alice 开始 发 送 消息 1 和 消息 认证 码 2， 但 是 她 改变 想法 ， 发 送 消息 2 和 
消息 认证 码 4 来 代替 。Eve 截获 所 有 这 些 消 息 。 给 出 Eve 现在 知道 的 ， 
描述 出 匹配 消息 12 的 MAC 的 分 布 。 


概率 


G1 4 4 6 89 101112 
与 消息 12 匹 配 的 MAC 
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6. Klein 教授 想 要 使 用 秘密 分 享 将 CS007 型 保密 柜 的 安全 密码 分 享 给 助教 。 这 
个 密码 是 八 位 数字 。Klein 教授 选择 mod 108 数字 p，g，r，s，t， 使 它们 满 
足 如 下 等 式 。 


力 十 g 三 安全 密码 (mod 108 ) 
~ 十 5 十 上 = 三 gg (mod 108 ) 
r 十 g 三 安全 密码 (mod 108 ) 
(显然 , Klein 教授 吸入 过 多 粉笔 灰 ， 在 秘密 分 享 上 很 迷糊 。) 他 提供 妃 给 


Kevin,，g 给 Mark，7 给 Sandy，s 给 Sheryl， 并 且 ， 仍 然 迷 糊 地 把 t+ 给 Kevin。 


(a 


(b) 


Ke 
(Cd 
(e 
ts Ca 


(b 


) 


) 


— 


对 于 下 面 给 出 的 每 一 组 助教 ， 说 出 他 们 是 否 能 联合 计算 出 安全 密码 。 
Sandy、Sheryl 和 Mark 
Kevin 自己 
Sandy 和 Kevin 
Sheryl 和 Mark 
Sandy 和 Mark 
漫步 在 助教 的 门 外 ， 你 注意 到 在 房间 的 公告 牌 上 有 如 下 信息 : 
“Kevin: 我 看 了 其 中 一 个 学 生 的 期 中 考试 成 绩 。 这 个 学 生 的 分 数 应 该 加 
20 分 。 我 已 经 使 用 一 次 性 密码 本 〈 模 数 为 26) 加 密 了 该 学 生 姓 名 缩写 : 
对 于 每 一 分 组 ， 
cyph = plain + key (mod 26) 
密 文 是 10 12。 密 钥 在 便条 上 ， 我 将 从 门 颖 塞 进去 。Sandy” 

你 看 见 在 〈 锁 着 的 ) 门 里 的 地 板 上 有 一 张 含 有 密 钥 的 纸 条 。 它 是 折 
起 来 的 ， 所 以 你 不 能 真正 看 到 密 钥 。 然 而 ， 你 准备 选择 你 目 己 的 假 密 
钥 ， 将 它 写 在 一 张 相似 的 纸 上 ， 并 且 将 它 从 门 缝 儿 塞 进去 ， 布 望 Kevin 
看 见 你 的 纸 条 而 不 是 Sandy 的 。 

你 能 造 一 个 密 钥 使 Kevin 将 20 分 加 到 你 的 期 中 考试 成 绩 上 吗 ? 如 果 
可 以 ， 给 出 这 样 一 个 密 铀 。 如 果 不 能 ， 解 释 为 什么 。 
现在 你 是 Kevin， 你 去 助教 的 房间 并 看 见 如 下 消息 : 

Kevin: 另 一 个 学 生得 到 了 更 高 的 期 中 考试 成 绩 ， 使 用 与 前 面相 同 
的 加 密 方案 一 一 模 数 26 的 一 次 性 密码 本 ， 我 已 经 加 密 该 学 生 姓 名 的 
缩写 。 密 文 是 17 23。 为 了 避免 上 周 的 惨败 ， 我 对 每 个 明文 分 组 使 用 
下 列 公 式 计 算出 了 MAC: 
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f(x) = Azr B rem 26 
消息 认证 码 的 第 一 个 分 组 是 23， 消 息 认 证 码 的 第 二 个 分 组 是 7。 
你 看 见 写 着 加 密 密 钥 的 三 个 折 对 的 纸 :“5 18”、“12 20” 及 “19 0”。 你 
也 能 看 见 一 个 纸 片 ， 写 着 一 对 消息 认证 码 的 密 钥 : “对 于 第 一 个 分 组 ，A== 
1，B= 二 25; 对 于 第 二 个 分 组 ，A 二 1，B= 二 10。” 
假设 消息 认证 码 密 钥 是 对 的 ， 正 确 的 明文 是 什么 ? 
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计算 问题 : 易 解 和 难 解 





10. 1 计算 问题 
一 个 计算 问题 通过 指明 输出 如 何 与 输入 数学 相关 来 定义 。 这 里 有 一 些 例子 : 


立方 问题 : 
S 输入 : 整数 2 
。 输出 : 整数 bpXbXb 


。 输入 :， 整数 &，p 
要 输出 : a 和 2 的 最 大 公 因 数 


。 输入 : 模 数 mx， 代表 元 6 
。 输出 : 代表 元 <， 满足 c 寺 5XbXb (mod m) 


. 输入 : 模 数 mm， 代表 元 b 
。 输出 :代表 元 c， 满 足 c。po=1 (mod m); 或 者 “fail”， 如 果 首 元 不 存在 
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模 需 运算 问题 : 


。 输出 : 代表 元 c， 满 足 c 寺 bXbX… Xb (mod m) 
k 次 
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计算 问题 的 实例 是 给 该 问题 的 输入 赋值 。 
例如 : 一 个 模 逆 问题 的 实例 是 “160 模 937 971 的 逆 ”。 


10.2 算法 


计算 问题 的 算法 是 计算 方法 ， 它 由 一 系列 确切 的 步 又 组 成 ， 接 受 输入 并 且 
产生 一 个 满足 这 个 计算 问题 中 定义 的 数学 关系 的 输出 。 

例如 ， 我 们 已 经 学 习 了 模 逆 问题 的 两 个 算法 。 模 道 问 题 就 是 计算 5 的 模 m 
乘法 逆 元 。 一 个 算法 是 写 出 模 m 代表 元 的 模 m 乘法 表 ， 男 一 个 是 欧 几 里 得 


10. 2. 1 模 景 运算 的 重复 -平方 算法 


现在 考虑 模 乘 过 问题 : 计算 从 的 模 m 代表 元 。 朴 素 的 算法 是 简单 地 以 5 开 
人 人， 反复 乘 以 6， 每 次 都 计算 出 除 以 mx 的 余数 。 经 过 & 一 1 次 乘法 运算 后 ， 结 果 
就 是 rem m。 

重复 -平方 算法 由 两 部 分 组 成 。 在 第 一 部 分 ， 算 法 从 2 开始 ， 乘 以 它 自 身 
(对 它 “ 平 方 ”) 并 且 取 余 ， 然 后 对 结果 平方 并 且 取 余 ， 接 着 再 对 结果 平方 ， 以 
此 类 推 ， 迭 代 一 定 次 数 。 在 第 二 部 分 ， 算 法 将 这 些 结果 中 的 一 些 合并 ， 把 它们 
乘 起 来 并 且 取 余 。 为 了 使 算法 更 精确 ， 需 要 了 解 二 进 制 展 开 的 概念 。 

我 们 通常 在 以 10 为 基数 〈“ 十 进 制 ” 的 计数 法 下 书写 数字 。 最 右 的 数字 是 
个 位 ， 右 数 第 二 个 数字 是 十 位 ， 右 数 第 三 个 数字 是 百 位 ， 以 此 类 推 。 因 此 765 
代表 7 个 10?， 加 6 个 101， 加 5 个 10°。 

另 一 个 书写 数字 的 体制 是 以 2 为 基数 “二进制”)。 二 进 制 中 ， 最 右 的 数字 
是 一 位 ， 右 数 第 二 个 数字 是 二 位 ， 右 数 第 三 个 数字 是 四 位 ， 右 数 第 四 个 数字 是 
八 位 ， 以 此 类 推 。 因此 100111 代表 1 个 25, 加 0 个 24， 加 0 个 23， 加 1 个 22， 
加 1 个 21,， 加 1 个 20， 也 就 是 39。 二 进 制 表示 法 的 数字 被 称 为 “位 ”(bit，bi- 
nary digit 的 简写 ) ， 按 照 惯例 ， 最 左 的 数字 必须 是 1 (就 像 通 常 我 们 不 把 数字 7 
写成 007)。 

回 到 重复 -平方 算法 。 为 了 计算 中 rem m， 我 们 把 上 写成 二 进 制 形式 。 最 左 
边 位 的 位 置 告诉 我 们 在 算法 的 第 一 部 分 需要 进行 多 少 次 平方 运算 。 例 如 ， 如 果 
最 左 位 在 第 21 的 位 置 ， 那么 需要 计算 如 ,如 ， 忆 ，b2 ，…， 太 。 因 为 第 一 
个 数字 就 是 6， 所 以 需要 进行 11 次 平方 运算 。 
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& 的 二 进 制 表 示 中 的 1 告诉 我 们 需要 合并 哪些 4b 的 寡 来 得 到 最 终结 果 。 这 里 
有 一 个 乘法 计算 的 例子 ， 需 要 计算 刀 184 。 对 每 个 乘法 行 ， 下 表 指 出 了 该 行 被 计 
算 的 值 的 表达 式 。 


result0 

resultl result0 »。 result0 
result2 resujltl 。resujtl 

result3 result2 。 result2 
result4 result3 。 result3 
result5 result4 »« result4 
result6 result5 。 result5 
result7 result6 » result6 


result8 result7 » result7 


result9 result8 » result8 


result10 result9 » result9 


resultl 1 result10 » resultl0 





finalresult result3 。 result7 。 resultl!] 


假设 指数 需要 工 个 位 表示 。 那 么 算法 第 一 部 分 需要 进行 L 一 1 次 乘法 运 
算 。 在 算法 的 第 二 部 分 ， 需 要 将 在 第 一 部 分 得 到 的 工 个 结果 中 的 某 一 些 乘 起 
来 。 因 为 我 们 最 多 需要 将 工 个 数 乘 起 来 ， 所 以 在 算法 第 二 部 分 最 多 需要 进行 
L 一 1 次 乘法 操作 。 

表示 正 整 数 & 所 需要 的 二 进 制 位 数 是 1 加 上 对 logz &〈 以 2 为 底 & 的 对 数 ) 
的 向 下 取 整 。 例 如 ，logz 2184 王 11.092 757 …， 这 个 对 数 的 向 下 取 整 值 是 11。 
因此 这 个 公式 预测 ， 表 示 2184 需要 用 12 个 二 进 制 位 〈 大 多 数 场合 下 ， 忽 略 
“加 1”， 而 用 logz & 估 计 二 进 制 位 的 数目 已 经 足够 好 了 ) 。 

类 似 地 ， 表 示 一 个 数 ( 假 设 是 mx) 所 需 的 十 进 制 位 数 是 1 加 上 以 10 为 底 的 
这 个 数 的 对 数 的 向 下 取 整 值 。 例 如 ，loglo765 王 2.883 661 4 …， 所 以 向 下 取 整 
值 是 2。 因 此 这 个 公式 预测 ， 表 示 765 需要 3 个 十 进 制 位 。 

使 用 下 面 的 公式 实现 一 个 以 10 为 底 的 对 数 和 以 2 为 底 的 对 数 之 间 的 转换 是 
非常 简单 的 。 记 住 它 ! 

log2 x 2 3. 3 logiox 


(符号 六 表示 “近似 等 于 ”，3. 3 是 以 2 为 底 10 的 对 数 。) 


10. 3 预测 一 个 算法 需要 的 计算 机 执行 步 数 
为 了 预测 一 台 计 算 机 执行 一 个 算法 需要 多 长 时 间 ， 需 要 预测 执行 单 次 乘法 
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需要 多 长 时 间 。 每 次 乘法 的 实际 执行 时 间 应 该 依赖 于 涉及 多 少 位 数字 。 本 书 
中 ， 我 们 可 以 说 ， 两 个 数 做 乘法 需要 的 计算 机 的 步 数 是 这 两 个 数 中 较 大 数 的 位 
数 〈 十 进 制 ) 。 

我 们 在 第 2 草 的 2.6.2 节 和 2.7.3 节 中 看 到 ， 执 行 一 系列 乘法 运算 时 ， 可 
以 把 每 一 个 中 间 结 果 用 代表 元 替换 。 采 用 这 种 方法 ， 我 们 能 保证 只 对 小 于 模 数 
的 数字 做 乘法 。 因 此 对 一 个 模 m 乘法 需要 的 计算 机 步 数 的 估计 是 m 的 十 进 制 表 
示 中 的 位 数 。 

例如 ， 计 算 多 〈mod m) 的 朴素 算法 需要 A 一 1 次 乘法 ， 每 次 乘法 都 是 模 
7 乘法。 因为 每 次 乘法 需要 大 概 logiom 步 ， 所 以 总 的 计算 机 步 数 大 约 是 
Clogyom) (RO—17; 

对 于 同一 个 计算 问题 ， 使 用 重复 -平方 算法 所 需要 的 乘法 次 数 至 多 是 数字 
的 比特 长 度 减 去 1 所 得 结果 的 两 倍 。 因 为 数字 的 比特 长 度 至 多 是 1 加 上 以 2 
为 底 & 的 对 数 ， 因 此 乘法 的 次 数 最 多 也 就 是 2 logz&。 每 一 次 乘法 都 要 模 mx， 需 
要 至 多 1 十 logiom 次 计算 机 步 数 。 因 此 该 算法 总 的 计算 机 步 数 大 约 是 (logiom) 
(2 log»k), 


10. 4 ”快速 算法 和 慢 速 算法 : 容易 问题 和 困难 问题 


对 一 个 小 的 & 值 ， 朴 素 算 法 和 重复 -平方 算法 在 模 乘 千 问 题 的 计算 机 步 数 上 
不 会 有 太 大 差异 。 然 而 ， 当 我 们 增加 的 值 时 ， 它 们 之 间 的 差异 增长 极 大 。 一 
旦 有 是 一 个 100 位 的 数 ， 从 前 一 节 中 提 到 的 公式 中 ， 我 们 能 看 出 朴素 算法 的 计 
算 步 数 和 重复 -平方 算法 的 计算 步 数 有 着 巨大 的 差别 。 前 者 被 称 为 慢 速 算法 ， 对 
于 一 个 100 位 的 输入 ， 它 将 花费 几 千 年 时 间 去 完成 计算 。 重 复 -平方 算法 被 称 为 
快速 算法 ， 即 使 是 1000 位 的 输入 ， 计 算 机 也 只 需要 不 到 一 秒 的 时 间 就 可 以 
吉成 。 

解决 模 乘 逆 元 问题 的 朴素 算法 涉及 构建 一 个 mxXm 的 表 ， 这 需要 mr 次 乘法 
计算 。 当 x 是 7 或 11 时 ， 这 并 不 糟糕 。 然 而 当 mx 是 一 个 100 位 的 数 时 ， 这 种 
算法 完全 不 切实 际 。 相 比 之 下 ， 欧 几 里 得 算法 要 求 的 卡片 数 大 约 是 m 的 十 进 制 
位 数 的 五 倍 ， 并 且 每 一 个 卡片 只 涉及 一 次 除法 、 一 次 乘法 和 一 次 减法 。 即 使 是 
1000 位 的 输入 ， 计 算 机 也 会 在 不 到 一 秒 的 时 间 完 成 欧 几 里 得 算法 。 

通常 ， 快 速算 法 和 慢 速 算法 之 间 的 差异 随 着 输入 的 增 大 (比如 当 输 入 增 大 
到 百 位 或 千 位 时 ) 而 变 得 明显 。 由 于 这 个 原因 ， 用 一 个 公式 通过 输入 长 度 〈 比 
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如 ， 十 进 制 位 数 ) 表示 算法 需要 的 计算 机 步 数 将 是 非常 有 用 的 : 它 使 我 们 能 够 
预测 大 输入 下 算法 需要 花费 的 总 时 间 。 

这 样 的 预测 在 实际 中 不 需要 完全 准确 ， 模 乘 才 的 两 种 算法 之 间 的 差异 如 此 
巨大 《〈 当 输入 足够 大 时 )， 以 至 于 即使 每 一 种 算法 所 要 求 的 计算 机 步 数 被 低 佑 
或 者 高 估 一 百倍 ， 它 们 之 间 的 差异 也 依旧 很 明显 。 

快速 和 慢 速 算法 间 的 区 别 导致 了 容 多 的 计算 问题 和 困难 的 计算 问题 间 的 区 
别 。 一 个 计算 问题 如 有 果 存 在 快速 算法 ， 则 称 其 为 容易 问题 。 因 此 模 乘 医 被 认为 
是 一 个 容易 问题 。 反 之 ,一 个 计算 问题 如 果 不 存 在 快速 算法 ， 则 称 其 为 困难 问 
题 。 注 意 ， 在 此 我 们 不 是 要 求 没 有 已 知 的 快速 算法 ， 而 是 要 求 快 速算 法 根本 就 
不 存在 ， 这 样 的 计算 问题 是 本 质 性 困难 的 。 

对 于 很 多 计算 问题 ， 我 们 不 知道 它们 是 否 容易 : 没有 人 发 表 快 速算 法 ， 但 
也 没有 人 证 明 不 存在 快速 算法 。 如 果 算 法 研究 者 没有 成 功 地 为 一 个 计算 问题 找 
到 快速 算法 ， 我 们 经 常 假设 这 个 问题 是 困难 的 。 在 下 一 章 中 会 介绍 一 个 假定 是 
困难 计算 问题 的 例子 。 


10. 4. 1 计算 问题 和 密码 学 


为 什么 我 们 在 意 一 个 计算 问题 是 容易 的 还 是 困难 的 ? 在 前 面 的 章节 中 ， 我 
们 看 到 密码 方案 〈 比 如 一 次 性 密码 本 ) 如 果 恰 当 使 用 ， 将 不 会 释放 出 任何 信 
息 。 然 而 ， 在 实际 中 达到 这 种 安全 程度 有 时 是 困难 的 。 许 多 其 他 的 方案 都 是 基 
于 容易 问题 和 困难 问题 的 对 立 统 一 的 。 比 如 说 ， 我 们 想 要 构造 一 种 加 密 方案 ， 
使 得 一 个 密 钥 可 执行 多 次 加 密 ， 加 密 和 解密 对 于 知道 密 钥 的 人 来 说 是 容易 的 ， 
而 攻击 (没有 密 钥 时 解密 ) 则 是 困难 的 。 

在 下 一 章 中 ， 我 们 将 探索 这 样 一 些 密码 方案 ,它们 的 安全 性 依赖 于 这 种 容 
易 问题 〈 模 乘 需 ) 和 (被 认为 的 ) 困难 问题 之 间 的 对 立 统一 。 


10.5 思考 题 
1. 假设 数字 c 有 7 位 (十 进 制 ,下 同 )， 数 字 4 有 mm 位 。 对 下 列 每 个 问题 ， 利 


用 mr 和 nn 给 出 一 个 公式 。 
(a) 1000。c 大 约 有 多 少 位 ? 
(b) c 十 d 大 约 有 多 少 位 ? 
(c) c，d 大约 有 多 少 位 ? 
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(d) c。 2 大约 有 多 少 位 ? 

2. DigiComp 型 计算 机 在 一 个 时 钟 周 期 内 可 以 加 两 个 1 位 数 〈 并 加 一 个 进位 ， 如 
条 需要 的 话 )。 因 此 ， 为 了 将 两 个 10 位 数 相 加 ，DigiComp 需要 10 个 周期 ; 
为 了 将 一 个 10 位 数 和 一 个 6 位 数 相 加 ，DigiComp 需要 6 或 7 个 周期 (取决 
于 最 后 一 次 进位 ) 。 对 于 下 列 每 个 给 定 的 加 法 问题 ， 告 诉 我 们 DigiComp 需要 
多 少时 钟 周 期 来 解决 问题 。 你 的 答案 不 需要 精确 ， 人 允许 有 微小 的 偏差 。 

(a) 12345678 
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(b) 123456789012345678 
十 123456789012345 


(c) 12345678901234567890123456789012345678901234567890 
十 12345678901234567890123456789012345678901234567890 


(dd) 123456789 
234567891 
T345678912 


(e) 12345678901234567890 
23456789012345678901 
34567890123456789012 
45678901234567890123 
56789012345678901234 
67890123456789012345 
78901234567890123456 
89012345678901234567 

十 90123456789012345678 


3. DigiComp 型 计算 机 可 以 在 一 个 时 钟 周 期 内 将 两 个 1 位 数 相 乘 〈 并 加 一 个 进 
位 ， 如 果 需 要 ) 。 因 此 为 了 将 一 个 20 位 数 和 一 个 1 位 数 相 乘 ，DigiComp 需要 
20 个 周期 。 将 一 个 20 位 数 和 一 个 2 位 数 相 乘 ， 比 如 与 37 相 乘 ， 这 个 过 程 包 
含 : (D 将 这 个 20 位 数 乘 以 7， 获 得 一 个 20 或 者 21 位 数 ; (ii) 将 这 个 20 
位 数 乘 以 3， 获 得 一 个 20 或 者 21 位 数 ， 并 回 左 移 一 个 位 置 ; (ii) 将 (D 和 
(i) 的 结果 相 加 。 第 (1) 部 分 需要 20 个 周期 ， 第 〈i 部 分 需要 20 个 周期 ， 
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第 (iii) 部 分 大 约 需 要 21 个 周期 ， 因 此 总 共 大 约 需 要 61 个 时 钟 周期 。 
对 下 列 每 个 乘法 问题 ， 告 诉 我 们 DigiComp 需要 多 少时 钟 周 期 来 解决 问 
题 (你 的 答案 不 需要 精确 ， 有 一 点 偏差 没有 问题 )， 并 做 详细 说 明 。 不 要 害 


怕 走 捷径 ， 也 就 是 说 ， 如 果 你 发 现 了 一 个 模式 ， 尽 管 使 用 它 。 124 
(a) 12345678 

x 1 
(b) 12345 

X 1234 


(已) 1234567890123456789012345678901234567890 
X 1234567890 


. 假设 DigiComp 需要 将 两 个 & 位 数 相 乘 。 下 列 的 哪个 公式 最 精确 地 表达 了 需 
要 的 时 钟 周期 数 ” 参照 乘法 的 过 程 解释 你 的 答案 。 注 : 你 选择 的 公式 不 需要 
完全 正确 ， 只 需要 是 一 个 最 好 的 估计 值 。 正 确 公 式 的 百分率 误差 对 较 大 的 数 
k 是 较 小 的 ; 而 错误 公式 的 百分率 误差 对 于 较 大 的 趋向 于 变 大 。 可 以 通过 
下 面 的 方式 检查 你 的 答案 : 选取 两 个 数 ， 比 如 两 个 20 位 的 数 ， 利 用 你 选择 
的 公式 对 这 两 个 数 相 乘 所 需 时 钟 周 期 数 进行 预测 并 观察 预测 的 准确 程度 。 束 
像 在 前 面 的 问题 中 一 样 ， 不 要 害怕 走 捷径 : 寻找 模式 。 

se 此 十 总 

。 4k 

。 2kVE 

。 2k2 

。 k’/8 

。 OK 

。 104 一 2 

. 对 下 列 每 个 公式 ， 想 象 一 台 计 算 机 ， 它 计算 两 个 & 位 数 相 乘 所 用 的 时 钟 周 期 
数 由 这 些 公 式 给 出 。 当 站 取 哪 些 值 时 ，DigiComp 更 快 ? 当 & 取 哪些 值 时 ， 想 
象 中 的 计算 机 更 快 ? 你 的 答案 不 需要 精确 。 提 示 : 你 可 能 发 现 画 函数 图 有 
帮助 。 

(a) 10R 十 4 


ss 
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(b) k2 VE 
(c) 2£/1100 
(d) 2 


. 一 个 数 的 以 10 为 底 的 对 数 大 约 是 这 个 数 的 十 进 制 位 数 。 使 用 这 个 事实 估计 


下 面 给 出 的 以 10 为 底 的 对 数 〈 不 要 使 用 计算 硕 ) 。 

(a) loglo12345678901234567890 

(b) logio123456789012345678901234567890123456789012345678901234567890 
(c) loglo9999999999999 

(d) log101111111111111 


: 对 下 列 每 一 个 式 子 ， 给 出 xz 的 一 个 值 ， 使 得 它 以 10 为 底 的 对 数 近 似 等 于 给 定 


的 数 (有 许多 正确 的 答案 )。 
(a) logio0XS25 
(b) logioxS7 
(c) ljogloZ 人 30 


. 假设 DigiComp 需要 将 数字 a 和 2 相 乘 。 下 列 哪个 公式 最 精确 地 佑 计 了 执行 这 


个 乘法 需要 的 时 钟 周 期 ? 解释 你 的 答案 ， 并 将 你 的 答案 与 二 1234567890，2 一 
1234567890 时 的 正确 答案 相 比较 。 

。 a/b 

。 4Q202 

。 2logioab 

。 2(logivoa) (log105) 

w OL 


. 男 一 台 想 象 的 计算 机 需要 大 约 名 个 时 钟 周期 来 将 两 个 & 位 数 相 乘 。 下 列 哪 个 公 


式 最 精确 地 估计 了 a 和 2 相 乘 需要 的 时 钟 周 期 ? 解释 你 的 答案 ， 并 将 你 的 答案 
与 a 二 1234567890,， 5 二 1234567890 时 的 正确 答案 相 比 较 。 

。 0Q303 

。 (ab)’ 

TO 

。 (logioa)3 (logliop)3 

。 ]oglio(Q323 ) 


10. 


Ls 


1 


] 对 
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(a) 对 下 列 每 个 以 二 进 制 形式 给 出 的 数字 ， 给 出 十 进 制 的 表示 ， 说 明 你 是 如 
何 获得 你 的 答案 的 。 
全 1 
入 各 和 
iii. 10100111010 
(b) 对 下 列 每 个 以 十 进 制 形式 给 出 的 数字 ， 给 出 二 进 制 的 表示 ， 说 明 你 是 如 
何 获得 你 的 答案 的 。 
i 
ii. 16 
iii. 632 
对 下 列 每 个 数字 x， 估 计 logiox*。 你 的 答案 不 需要 精确 ， 只 要 求 你 的 答案 是 距 
离 正 确 答案 在 1 以 内 的 一 个 整数 。 要 求 不 使 用 计算 器 。 
(a) 865733500 
(b) 3257100392479038 
(c) 2903483223973759397330024 
(d) 440956638333799740905525263563 
对 下 列 每 个 数字 x， 估计 logzz。 再 一 次 ， 你 的 答案 不 需要 精确 ， 只 要 求 你 的 
答案 是 距离 正确 答案 在 1 以 内 的 一 个 整数 。 要 求 不 使 用 计算 需 。 
(a) 75777 〈 十 进 制 ) 
(b) 3337150 (十 进 制 》 
(c) 10111011001 (二 进 制 ) 
(d) 101010100000011111111010 (二 进 制 ) 
我 们 使 用 类 似 下 面 的 表 展 示 计 算 模 乘 医 所 需要 的 操作 ， 下 面 这 个 表 展 示 的 是 
在 某 个 未 指定 的 模 数 下 计算 22184 ， 相 应 地 ， 需 要 把 这 里 的 每 个 乘法 理解 为 这 
个 模 数 下 的 模 乘 。 


result0 


resultl result0 » result0 


result2 result] » resultl 


resultl2 resultll1 。resultll b2048 


finalresult result3 。 result7 » resultl2 D2 134 





对 下 列 每 个 指数 ， 首 先 获得 指数 的 二 进 制 表达 式 ， 给 出 你 的 结果 。 注 意 在 你 
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的 二 进 制 表达 式 中 有 多 少 位 。 下 一 步 ， 准 备 一 张 像 上 面 那样 的 表 ， 指 出 计算 
乘 瑚 需要 的 操作 。 你 的 表 对 二 进 制 指数 中 的 每 一 位 都 应 该 有 对 应 的 一 行 ， 加 
上 一 个 额外 的 行 把 相应 的 结果 乘 起 来 ， 以 得 到 预期 的 最 终结 果 。 最 后 ， 数 出 
你 提出 的 计算 中 所 需 的 乘法 运算 的 总 数 。 

(a) OS 

CB) be 

(ey BY 

Cdy Bi 


. 对 这 个 问题 ， 你 将 需要 一 个 计算 锅 。 在 这 个 问题 中 ， 令 两 台电 脑 MegaComp 


和 SlowThink 面对面 竞争 。 我 们 的 “ 赛 道 ”是 计算 63938115730327217 模 
3068862310548665。 注 意 ， 指 数 和 模 数 都 是 15 位 数 。 

MegaComp 是 非常 快 也 非常 笨 的 ， 它 的 设计 者 不 知道 重复 -平方 方法 ， 所 
以 它 使 用 朴素 算法 来 计算 模具 (回顾 一 下 这 个 算法 所 需 的 操作 数 的 公式 )， 然 
而 ，MegaComp 一 秒 执 行 100 万 步 操 作 。 

SlowThink 是 非常 慢 的 ， 它 是 在 早 一 个 时 代 被 设计 的 ， 且 一 秒 钟 执行 
1000 步 操 作 。 然 而 ， 它 使 用 了 重复 -平方 算法 来 计算 模 震 。 

在 发 令 枪 声 中 局 动 你 的 电脑 …… 
(a) MegaComp 将 要 用 多 长 时 间 完 成 上 述 模 需 运算 ? 提示 : 你 的 答案 也 许 最 

好 用 年 来 表示 。 
(b) 对 SlowThink 将 要 用 的 时 间 给 出 一 个 好 的 上 界 。 


| 第 11 章 


A Cryptography Primer: Secrets and Promises 


模 弱 医 、 模 对 数 和 单 癌 畏 数 





就 像 我 们 在 上 一 章 的 末尾 提 及 的 那样 ， 密 码 学 利用 了 容易 计算 问题 和 困难 
计算 问题 的 对 立 统一 。 我 们 在 上 一 音 看 到 ， 下 面 的 计算 问题 是 容易 的 : 即使 输 
入 数 百 位 的 数字 ， 计 算 机 也 能 在 合理 的 时 间 内 计算 出 输出 结果 。 


模 乘 究 问 题 
。 输入 : 模 数 m， 代 表 元 gp， 正 整数 
。 输出 : 模 数 m 的 代表 元 c， 使 得 
c= 6XbX Xb (modm) 


AR 次 
下 面 我 们 将 给 出 一 个 被 认为 是 困难 的 计算 问题 的 例子 。 
模 对 数 问 题 
。 输入 : 模 数 mx， 模 mm 代表 元 b,c 
。 输出， 非 负 整数 &， 使 得 愉 三 c (mod mm)， 如 果 这 样 一 个 整数 存在 ; 否 
则 ， 输 出 “不 存在 ”。 


如 果 存 在 一 个 整数 &， 使 得 此 圭 c (mod xz) ， 我 们 就 称 & 是 ec 的 模 m 对 数 
(以 2 为 底 )。 本 书 中 ， 我 们 有 时 写作 如 下 的 数学 表达 式 : 
k = mod m logsc 
上 述 标记 法 在 把 mod m logxc 视 为 一 个 函数 上 具有 一 定 的 欺骗 性 。 事 实 上 ， 
正如 我 们 对 这 个 计算 问题 的 描述 所 表明 的 ， 有 时 对 于 给 定 的 m,， 5b5 和 c， 是 没有 
模 对 数 的 。 此 外 ， 欧 拉 定 理 〈 在 数论 一 章 讲 述 的 ) 也 能 用 于 表明 ， 如 果 存 在 一 
个 模 对 数 ， 则 必定 存在 无 限 个 。 假 设 & 是 以 2 为 底 的 c 的 模 m 对 数 。 这 意味 着 
bP = c (mod m) 
由 欧 拉 定理 ， 只 要 5、m 互 素 ， 
bm™ = 1 (mod mn) 


两 等 式 相 乘 ， 得 到 
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Pb$™ = ¢ (mod m) 
最 后 ， 运 用 乘 才 第 一 定律 ， 得 到 

HA = 三 CCmod m) 
就 是 说 ,，k 十 $l(m) 也 是 以 2 为 底 的 ec 的 模 zz 对 数 。 

因此 mod m logxc 在 两 个 方面 都 满足 图 数 的 定义 : 对 于 某 些 输入 ， 它 没有 

解 ; 而 对 某 些 输入 ， 它 又 会 有 多 个 解 。 然 而 ， 把 它 作为 一 个 函数 看 待 通常 是 很 
有 用 的 。 在 这 个 公式 出 现 的 很 多 情况 下 ，(1) 一 开始 就 知道 存在 解 ，(2) 得 到 
哪个 解 并 没有 关系 ， 所 以 我 们 可 以 忽略 它 不 构成 函数 这 一 情况 。 


模 对 数 与 普通 对 数 间 的 差异 


模 对 数 似 乎 和 普通 的 非 模 对 数 相似 。 普 通 的 以 2 为 底 的 ec 的 对 数 被 定义 为 
实数 工 使 得 姑 王 c。 这 个 等 式 提示 我 们 使 用 一 个 〈 模 ) 等 式 来 定义 模 对 数 。 此 
外 ， 与 模 对 数 相 似 ， 一 个 普通 对 数 问题 有 时 也 没有 解 〈 当 输入 < 是 非 正 数 时 )。 
你 能 使 用 科学 计算 器 计算 普通 对 数 ， 至 少 是 以 10 为 底 的 对 数 ， 那 么 为 什么 普通 
对 数 问题 简单 到 一 个 计算 器 就 能 解决 ， 而 模 对 数 问 题 却 会 如 此 困难 ? 

这 个 答案 似乎 和 近似 值 有 些 关 系 。 计 算 器 通常 不 能 计算 出 一 个 精确 的 对 数 
值 ， 只 能 计算 出 一 个 近似 的 对 数值 。 比 如 说 ， 计 算 器 告诉 我 17 以 10 为 底 的 对 
数 是 1. 230 448 9， 但 是 当 我 计算 10 的 1. 230 448 9 次 方 以 验算 这 个 结果 时 ， 计 
算 器 告诉 我 计算 的 结果 不 是 17 而 是 16. 999 999。 事 实 上， 以 10 为 底 17 的 对 数 
不 能 使 用 有 限 位 数 表 示 出 来 。 那 么 为 什么 我 会 对 给 出 错误 答案 的 计算 融 感 到 满 
意 呢 ? 10 的 1. 230 448 9 次 方 非常 接近 于 17 的 事实 告诉 我 们 ， 以 10 为 抵 17 的 
对 数 非常 接近 1. 230 448 9， 因 此 我 的 计算 絮 给 我 的 答案 非常 接近 正确 管 案 。 男 
外 ， 因 为 10 的 1.230 448 9 次 方 小 于 17， 我 们 可 以 推算 出 1. 230 448 9 小 于 以 
10 为 底 17 的 对 数 的 准确 值 。 这 类 观察 被 用 于 为 计算 一 个 好 的 近似 对 数 设 计 好 
的 算法 。 

把 这 种 情形 和 模 算术 的 情况 进行 对 比 。 令 模 数 mx 为 97 330 327， 那么 
88 319 671 以 2 为 底 的 对 数 是 多 少 ? 也 就 是 说 ,我 们 希望 计算 出 一 个 数字 上 &， 
使 得 

2k = 88 319 671 (mod 97 330 327) 

通过 尝试 不 同 的 指数 ， 我 偶然 得 到 指数 28 305 819， 这 导致 了 一 个 不 同 但 

是 近似 的 数 : 
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228 305 819 = 88 032 151 (mod 97 330 327) 

这 显示 28 305 819 可 能 是 88 319 671 的 对 数 的 一 个 好 的 近似 。 同 时 ， 
为 2 的 28305 819 次 方 计算 结果 的 代表 元 小 于 88 319 671， 我 们 可 以 试看 猿 
想 28 305 819 小 于 88 319 671 的 精确 对 数 。 

事实 上 ， 真 正 的 对 数 是 12 314， 完 全 不 同 于 我 们 猜想 的 28 305 819， 而 是 
比 它 小 很 多 。 于 是 我 们 得 出 结论 ， 与 普通 算术 截然 不 同 ， 在 模 算术 中 ， 仪 仅 因 
为 两 个 数 相近 并 不 能 意味 着 它们 的 对 数 相近 。 

一 般 而 言 ， 一 个 数 的 模 对 数 在 数值 上 和 该 数 的 普通 对 数 没 有 相似 性 。 例 如 ， 
普通 的 以 2 为 底 88 319 671 的 对 数 大 约 为 26. 396 231。 一 般 地 ， 模 对 数 等 于 普 
通 对 数 是 很 少见 的 〈 这 仅仅 当 普通 对 数 是 精确 的 并 且 非 常 小 ， 以 至 于 这 个 〈 普 
通 ) 对 数 仍 小 于 模 数 时 才 会 发 生 。 例 如 ， 普 通 的 以 2 为 底 16384 的 对 数 是 14， 
因为 16 384 比 模 数 93 730 327 小 ， 以 2 为 底 16 384 模 97 330 327 的 对 数 也 
为 14。) 


作为 单 向 函数 的 模 乘 震 


单 问 函数 是 这 样 一 个 函数 f， 下 面 的 第 一 个 问题 是 计算 “容易 ”的 ， 而 第 
二 个 问题 是 计算 “困难 ”的 。 

前 向 : 输入 : 了 了 定义 域 中 的 一 个 元 素 5。 

输出 : f(b) 的 值 。 
后 向 : 输入 : 了 值 域 中 的 一 个 元 素 c。 
输出 : 三 定义 域 中 的 一 个 元 素 5 使 得 f(b) 二 c。 

因此 单 向 函数 是 一 个 很 容易 从 它 的 定义 域 元 素 得 到 对 应 的 像 但 却 很 难 从 值 
域 元 素 得 到 它 的 原 像 的 也 数 。 

认识 到 一 个 单 向 也 数 并 不 涉及 密 钥 这 很 重要 。 可 以 假定 有 所 有 人 其 至 是 潜在 
的 黑客 都 知道 单 向 因数 的 所 有 细节 。 一 个 使 用 单身 函数 的 系统 的 安全 性 不 依赖 
于 任何 它 自身 的 隐秘 性 ， 而 仅仅 取决 于 后 向 计算 的 困难 程度 。 

我 们 关于 单 向 函数 的 一 个 例子 是 f(x) 二 2* (mod m) ( 译 者 注 : 22 (mod m) 
可 以 理解 为 27 rem m 的 男 一 种 符号 表示 ， 下 同 ， 不 再 一 一 说 明 )， 其 中 m 是 一 
个 很 大 的 奇数 模 ， 比 如 ， 有 几 百 位 。 对 于 一 个 输入 2， 计算 机 可 以 在 几 十 万 步 
内 使 用 重复 -平方 算法 计算 出 y= 二 2 (mod m)， 这 没有 问题 。 然 而 ， 由 y 计算 出 
b 则 是 求解 一 个 模 对 数 问 题 。 我 们 相信 没有 可 以 解决 该 问题 的 好 的 算法 。 
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当然 ， 这 并 不 意味 着 每 一 个 后 向 问题 的 实例 都 很 难 解 决 。 我 们 在 本 书 中 已 经 
看 到 ， 例如， 如 果 模 数 mx 非常 小 ， 则 找到 模 对 数 并 不 是 很 困难 的 。 即 使 模 数 mx 很 
大 “【〈 它 应 该 有 的 那么 大 ， 比 如 几 百 位 )， 如 果 4 的 值 非常 小 ,那么 22 (mod mm) 和 
2 是 一 样 的 ， 这 就 像 我 们 在 普通 运算 中 做 寡 乘 ， 这 是 由 于 指数 对 于 模 数 来 说 不 
够 大 ， 所 以 本 质 上 对 运算 不 会 有 任何 影响 。 对 于 这 样 一 个 实例 ， 后 向 计算 涉及 
的 仅 是 一 个 普通 的 (精确 〉 对 数 计算 。 这 种 明显 的 安全 缺陷 可 以 归 为 一 个 更 一 
般 的 关于 单 向 函数 的 使 用 问题 。 这 个 更 一 般 的 问题 出 现在 下 面 要 讨论 的 两 个 示 
例 应 用 中 。 

对 某 些 应 用 而 言 ，f 是 单 问 的 是 不 够 的 。 在 下 面 第 二 个 应 用 的 讨论 中 ， 我 
eee bat ora he 即 存 在 一 
种 安全 缺陷 。 本 书 中 ,我 们 忽略 这 种 缺陷。 使 用 模 乘 过 作为 一 个 单 向 函数 也 有 
可 用 性 缺陷 : 即使 我 们 有 模 乘 寡 的 快速 算法 ， 即 重复 -平方 算法 ， 对 于 一 些 应 用 
来 说 ， 也 还 是 不 够 快 的 。 基 于 这 两 点 原因 ， 在 实践 中 ， 用 其 他 更 复杂 的 函数 作 
为 单 向 函数 。 


安全 参数 


我 们 已 经 说 过 ， 容 易 计 算 问 题 和 困难 计算 问题 之 间 的 差距 将 随 着 输入 位 数 
的 增长 变 得 越 来 越 明 显 。 因 此 输入 越 大 ， 安 全 性 就 越 高 。 然 而 ， 大 输入 的 缺点 
是 它 降低 了 可 用 性 ; 即使 是 快速 算法 ， 其 所 需 时 间 也 随 春 输入 的 增加 而 增加 。 

为 了 人 允许 密码 方案 的 用 户 决 定 如 何平 衡 这 种 折 中 ， 密 码 方案 需要 市 有 一 个 
所 谓 的 “安全 参数 ”。 安 全 参数 越 高 ， 该 方案 的 安全 性 就 越 大 , 但 是 对 使 用 该 
方案 的 人 来 说 则 越 不 方便 。 对 于 指数 单 向 函数 ， 它 的 安全 参数 就 是 模 数 m 的 十 
进 制 位 数 。 


11.1 单 向 函数 在 口令 安全 中 的 应 用 


考虑 使 用 口令 来 限制 访问 某 些 资源 ， 比 如 一 台 计 算 机 。 一 个 简单 直接 的 方 
法 是 在 计算 机 上 存储 一 张大 表 ， 叫 作 口 令 文 件 ， 每 个 用 户 以 及 他 对 应 的 口令 都 
列举 在 这 个 表 中 〈 见 图 11. 1) 。 当 菜 人 试图 获得 访问 权限 (通过 登录 〉 时 ， 他 
把 用 户 名 和 口令 提供 给 计算 机 ， 然 后 计算 机 会 在 表 中 查找 该 用 户 名 并 且 把 输入 
的 口令 与 表 中 该 用 户 名 下 的 口令 相 比 较 。 如 果 匹 配 ， 则 计算 机 假定 登录 的 人 是 
合法 用 户 并 提供 了 他 们 真实 的 姓名 ,授予 该 用 户 访问 权限 。 
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Aaron “bubble gum” 
Alice “mosquito” 


Anselm “cat” 





Zachary “mosquito” 

图 11.1 在 一 种 简单 的 组 织 方式 中 ,口令 文件 的 每 个 条 目 给 出 一 个 用 户 的 口令 

在 这 样 一 个 系统 中 ,口令 文件 是 系统 安全 中 的 一 个 薄弱 环 方 。 设 法 访问 了 
口令 文件 的 黑客 立即 拥有 了 所 有 用 户 的 系统 口令 ， 他 可 以 模拟 任何 用 户 进 入 系 
统 。 由 于 人 们 经 常 使 用 相同 的 口令 进入 不 同 的 系统 ， 这 有 时 其 至 帮助 黑客 问 入 
其 他 的 计算 机 系统 ， 等 等 。 这 是 1988 年 11 月 的 网 络 蠕 虫 病毒 (一 个 复制 自己 
并 通过 互联 网 传播 的 无 赖 程序 ) 使 用 过 的 一 个 仪 俩 。 

为 使 口令 文件 对 黑客 来 说 不 那么 有 用 ， 单 向 函数 被 运用 到 其 中 。 对 应 于 每 个 用 
户 名 ， 表 格 中 不 直接 存储 相应 的 口令 ， 取 而 代 之 的 是 存储 口令 在 单 癌 郴 数 作用 下 的 
像 〈 见 图 11. 2) 。 现 在 ， 当 用 户 试图 登录 时 ， 会 向 系统 提供 目 己 的 用 户 名 和 口令 ， 
系统 将 单 向 函数 作用 于 口令 获得 其 相应 的 像 ， 然 后 把 这 个 单 问 函数 的 像 同 口令 文 
件 中 用 户 条 目 里 对 应 的 值 相 比较 。 如 果 匹 配 ， 则 用 户 被 授予 访问 权限 。 

29510086573 


7792389588043 
193837727847 









Aaron 
Alice 


Anselm 









Zachary 7792389588043 


图 11.2 在 一 个 更 安全 的 系统 中 ,口令 文件 的 每 个 条 目 对 应 了 用 户口 令 在 某 个 给 定 
单 向 函数 f 作 用 下 的 像 。 在 这 个 例子 中 ，f(“bubble gum”) 二 29510086573， 
f(“mosquito”) 二 7792389588043。 请 注意 ， 相 同 的 值 被 存储 在 Alice 和 Za- 
chary 的 名 字 后 面 ， 因 为 他 们 碰巧 选用 了 同样 的 口令 

那么 ， 这 种 使 用 单身 函数 的 方法 是 如 何 增强 安全 性 的 呢 ? 一 个 访问 了 口令 文 

件 的 黑客 不 能 因此 获得 每 个 用 户 的 口令 ， 至少 不 能 直接 获得 口令 。 单 癌 限 数 的 定 
义 (也 就 是 “后 向 ”计算 是 困难 的 ) 意味 着 黑客 从 存储 在 口令 文件 中 的 值 推断 出 
用 户 的 口令 是 很 困难 的 。 


11. 1. 1 针对 使 用 单 向 函数 的 口令 文件 的 字典 攻击 
口令 文件 使 用 单 向 函数 并 不 能 消除 黑客 操作 口令 文件 带 来 的 风险 。 为 了 便于 
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记忆 ， 用 户 倾 回 于 选择 常用 的 单词 或 者 名 字 作 为 口令 。 黑 客 可 以 准备 一 万 左右 的 
第 用 口令 列表 (也 就 是 一 个 字典 )， 然 后 将 单 品 函数 作用 于 每 个 口令 ， 观 察 得 到 
的 结果 是 否 出 现在 口令 文件 中 。 每 一 个 匹配 都 给 出 一 个 用 户 的 口令 。 

有 人 可 能 会 说 ， 黑 客 也 可 以 人 重音 地 尝试 利用 字典 里 的 每 一 单词 登录 (这 是 
电影 《战争 游戏 》 中 出 现 过 的 黑客 攻击 的 场景 )。 毕 葛 ， 这 种 攻击 并 不 需要 滑 
客 去 访问 口令 文件 。 有 三 个 原因 使 这 种 攻击 相 比 于 首先 获得 口令 文件 的 攻击 方 
法 要 低 效 很 多 。 首 先 ， 民 好 的 计算 机 系统 在 登录 过 程 中 包含 了 一 个 延迟 :; 用 户 
被 迫 在 连续 尝试 登录 间隔 中 等 等 几 秒 ， 因 此 尝试 数 千 个 不 同 口令 是 不 可 行 的 。 
相 比 而 言 ， 黑 客 在 口令 文件 中 每 秒 能 测试 数 万 个 湾 在 口令 。 其 次 ， 在 一 些 用 户 
多 次 尝试 登录 操作 失败 后 ， 系 统管 理 员 会 被 提醒 有 试图 攻击 的 行为 正在 进行 。 
最 后 ， 这 种 攻击 要 求 黑 客 独立 地 为 每 一 个 用 户 名 尝试 所 有 口令 。 根 据 我 们 目前 
所 看 到 的 ， 能 够 访问 口令 文件 的 黑客 需要 为 每 一 个 淤 在 口令 使 用 一 次 单 回 明 
数 ， 然 后 快速 地 查看 该 单 向 困 数 值 是 否 出 现在 口令 文件 中 。 


11.1.2 为 口令 文件 “ 掺 盐 ” 


最 后 一 个 关于 对 口令 文件 进行 字典 攻击 的 观察 提示 了 一 种 阻止 这 类 黑客 攻 
击 的 技术 。 这 种 技术 的 目标 在 于 确保 口令 文件 中 的 每 个 条 目 都 是 用 户 特 有 的 。 当 一 
个 用 户 的 口令 被 输入 到 系统 时 ， 一 个 额外 的 数字 〈 称 作 盐 〈salt)) 被 选取 ， 盐 值 可 
能 取决 于 用 户 的 名 字 ， 或 者 是 一 天 中 口令 输入 的 时 间 一 一 任何 因 用 户 不 同 而 可 能 不 
同 的 值 。 口 令 和 盐 值 的 组 合作 为 单 向 孔 数 的 输入 ,， 像 通常 那样 ， 单 向 函数 的 相应 输 
出 被 记录 到 口令 文件 对 应 的 用 户 名 下 ， 同 时 保存 的 还 有 盐 值 〈 见 图 11. 3)。 
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图 11. 3 在 一 个 相对 安全 的 系统 ， 为 每 一 个 用 户 选 择 一 个 盐 值 ， 单 向 函数 作用 于 盐 
值 和 口令 的 组 合 。 注 意 到 对 于 Alice 和 Zachary 来 说 ， 尽 管 他 们 拥有 相同 的 
口令 ， 但 是 单 向 函数 的 输出 却 是 不 一 样 的 
在 这 之 后 ， 当 用 户 试图 登录 系统 并 输入 用 户 名 和 口令 时 ， 系 统 会 在 口令 文 
件 中 查找 用 户 名 并 确定 对 应 的 盐 值 ， 然 后 将 盐 值 与 用 户 提供 的 口令 相 结合 ， 并 
作为 单 向 函数 的 输入 。 系 统计 算出 结果 ， 并 与 存储 在 口令 文件 中 的 值 相 比 对 。 
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11.2 单 向 函数 在 登录 中 的 应 用 : s/key 


正如 在 第 1 章 所 讨论 的 那样 ， 在 罗 德 岛 上 ， 我 可 以 通过 在 网 络 上 发 送 我 的 
口令 远程 登录 位 于 加 利 福 尼 亚 的 计算 机 。 这 种 方法 显然 是 不 安全 的 : 窃听 者 只 
要 控制 一 台中 间 计 算 机 就 可 以 记录 用 户口 令 和 计算 机 账户 的 名 称 。 而 一 个 解决 
这 种 安全 性 问题 的 早期 产品 就 是 s/key。 

s/key 系统 需要 使 用 一 个 单 回 函数 广 为 了 使 用 s/key， 首 先 选择 一 个 密 钥 ， 
假设 它 为 一 个 20 位 的 数字 s; 然后 用 s/key 计算 机 程序 去 找到 ;在 单 向 阴 数 f 
下 的 像 ， 然 后 是 像 的 像 ， 然 后 是 像 的 像 的 像 ， 以 此 类 推 如 此 重复 操作 大 约 
100 次 。 结 果 可 以 写成 : 


f(A Fro FO >) 


100 次 
我 们 把 它 缩 写 为 "(5)。 

接着 我 们 会 把 这 个 值 提 供给 加 利 福 尼 亚 的 计算 机 ， 它 会 为 我 以 后 的 登录 存 
储 这 个 值 。 

之 后 ， 当 我 想 登 录 加 利 福 尼 亚 的 这 人 台 计 算 机 的 时 候 ， 它 会 要 求 我 提供 为 我 
存储 的 值 的 原 像 ， 注 意 ，f/1”(s) 的 原 像 是 13(s)， 因 为 

FY = ff CH) 

因为 我 知道 ; 的 值 ， 所 以 能 够 通过 运行 s/key 程序 重 构 出 f”(s) 的 值 ， 并 
将 它 发 送 给 加 利 福 尼 亚 的 计算 机 。 加 利 福 尼 亚 的 计算 机 检查 我 发 送 的 值 是 否 真 
的 是 它 存储 的 值 的 原 像 。 计 算 机 是 如 何 做 到 这 一 点 的 呢 ? 它 无 法 计算 出 存储 的 但 
的 原 像 ， 因 为 f 是 个 单 向 函数 ， 这 将 花费 过 长 而 无 法 承受 的 时 间 。 取 而 代 之 的 
是 ， 它 求 出 我 发 送 的 值 的 像 ， 并 将 它 和 存储 的 值 进行 比较 。 一 旦 它 验 证 这 两 个 值 
匹配 ， 它 就 会 存储 我 发 送 的 新 值 〈 代 蔡 原 来 的 值 )， 用 来 进行 下 一 次 登录 验证 。 

下 一 次 我 试图 登录 加 利 福 尼 亚 的 计算 机 时 ， 它 将 会 要 求 我 发 送 .P (>) 的 原 
像 ， 因 此 我 发 送 给 它 f(s)。 由 此 可 见 ， 在 我 被 迫 选 择 一 个 新 密 钥 * 重新 初始 
化 系统 之 前 ， 我 能 够 登录 100 次 。 

该 系统 比 上 述 所 说 的 需要 通过 网 络 发 送 口令 的 系统 要 更 加 安全 : 在 神 听 者 
得 到 我 对 加 利 福 尼 亚 的 计算 机 的 回应 时 ， 我 的 回应 早已 到 达 并 且 成 功 登 录 。 我 
回应 的 值 对 于 登录 不 再 有 用 ， 在 下 一 次 登录 时 ， 计算 机 在 授权 访问 之 前 将 会 要 
求 不 同 的 回应 值 ， 具 体 来 说 ， 是 甸 听 者 上 次 看 到 的 值 的 原 像 。 饭 听 者 不 能 计算 
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出 原 像 ， 因 为 函数 是 单 向 的 。 

注意 ， 位 于 加 利 福 尼 亚 的 计算 机 并 不 存储 任何 秘密 信息 ; 我 保留 着 密 钥 
的 唯一 副本 。 这 样 就 保证 了 即使 有 特权 访问 加 利 福 尼 亚 的 计算 机 上 的 文件 ， 也 
无 法 作为 我 而 登录 。 


11.3 单 回 函数 在 承 诡 中 的 应 用 / 误 用 


我 将 一 个 秘密 写 在 一 张 纸 上 ， 把 它 封 人 信封 ， 并 把 信封 放 在 你 眼前 。 在 这 
一 时 刻 : 

隐藏 性 : 你 还 不 知道 我 在 纸 上 写 了 什么 。 

绑 定 性 : 我 无 法 在 你 不 察觉 的 情况 下 改变 信封 内 我 已 经 写 下 的 内 容 。 

之 后 的 茶 个 时 刻 ， 我 把 信封 交 给 你 ， 你 便 能 得 到 我 的 秘密 。 

上 述 摘 写 的 场景 就 是 承诺 协议 的 模型 ， 它 是 密码 应 用 中 的 一 个 基本 元 素 ， 
令 人 人 惊讶 地 出 现在 各 种 各 样 的 场合 中 。 该 协议 的 第 一 阶段 是 承诺 阶段 ， 在 第 二 
阶段 ， 我 使 你 知道 秘密 ， 称 为 解 承 诺 阶 段 ( 这 是 一 个 糟糕 的 术语 )。 在 第 一 和 
第 二 阶段 之 间 ， 通 党 你 做 出 了 一 些 决 定 ， 并 且 向 我 声明 了 你 的 决定 。 承 诺 协 议 
的 隐藏 属性 确保 了 你 无 法 基于 我 的 秘密 做 出 决策 ， 而 绑 定 属性 则 确保 了 我 无 法 
根据 你 声明 的 决定 更 改 我 的 秘密 信息 。 

如 何 实现 数字 化 的 承 话 呢 ?也 就 是 说 ， 如 果 我 和 你 分 别 在 地 球 的 一 端 ， 且 
饿 互联 网 联系 在 一 起 ， 如 何 实现 与 上 述 相 同 的 功能 ”也许 最 容易 想到 的 办 法 就 
是 加 密 。 对 于 承 证 阶段 ， 我 选择 一 个 随机 密 钥 ， 用 它 加 密 我 的 秘密 ， 然 后 发 送 
给 你 密 文 ， 对 于 解 承诺 阶段 ， 我 发 送 给 你 密 铀 ， 人 允许 你 去 解密 密 文 。 

利用 这 种 方法 实现 承 诡 的 问题 是 至 少 有 一 些 加 密 方案 是 不 绑 定 的 。 也 就 是 
说 ， 它 不 能 可 徘 地 阻止 我 在 得 到 你 的 决定 后 改变 我 的 秘密 。 原 因 在 于 ， 密 钥 的 
可 选择 性 让 我 对 你 解密 时 得 到 的 内 容 有 了 一 点 额外 的 控制 权 。 我 能 够 根据 你 的 
决定 选择 给 你 什么 密 钥 。 这 个 问题 在 加 密 方 案 是 一 次 性 密码 本 方案 时 更 加 麻烦 : 
即使 在 我 发 送 给 你 密 文 之 后 ， 我 也 没有 绑 定 任意 一 个 特定 的 秘密 ， 这 是 由 于 通过 
合适 地 选取 我 提供 给 你 的 密 钥 ， 我 可 以 使 密 文 解密 成 任何 我 想 要 的 明文 。 

这 个 例子 表明 ， 当 我 们 使 用 加 密 来 实现 承诺 时 ， 承 诺 的 两 个 目标 (隐藏 性 
和 绑 定 性 ) 之 间 存 在 冲突 。 完 美加 密 方案 的 使 用 只 能 确保 隐藏 性 而 无 法 保证 绑 
定性 。 然 而 ， 存 在 加 密 方 案 能 够 同时 实现 两 种 属性 〈 与 为 外 的 技巧 结合 使 用 )。 

在 本 章 中 ， 我 们 的 解决 方案 将 不 使 用 密 钥 ， 从 而 避免 通过 选择 密 钥 给 我 带 
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来 额外 的 自由 度 。 一 个 单 向 函数 是 一 种 无 须 密 钥 而 能 够 实现 隐藏 的 方法 。 一 
基本 的 《正如 我 们 将 要 看 到 的 ， 存 在 缺陷 的 ) 利用 单 向 函数 实现 承诺 的 方案 如 
下 所 示 “《 记 住 ， 我 们 对 茶 些 协议 提前 达成 一 致 ， 包 括 单 回 果 数 的 选择 ) 。 

。 为 了 对 我 的 秘密 * 承 诡 ， 我 计算 c 二 f(s)， 并 且 发 送 c 给 你 。 

。 为 了 解 承 谢 ， 我 简单 地 发 送 给 你 我 的 秘密 *。 你 通过 计算 f(s) 并 验证 它 

和 我 在 承 诡 阶 段 发 送 的 c 相 匹配 来 确定 我 没有 说 谱 。 

这 种 实现 似乎 实现 了 有 承 诡 的 两 个 属性 。 因 为 了 是 一 个 单身 因数 ， 知 道 c 不 
能 使 你 确定 s。 因 为 我 早已 经 把 值 f(s) 发 送 给 你 ， 我 不 能 在 之 后 改 主 意 ， 并 发 
给 你 一 个 不 同 于 ; 的 所 谓 秘密 。 

事实 上 ， 这 些 推理 都 是 错误 的 ， 在 某 些 特 定 条 件 下 ， 上 述 协 议 既 不 隐藏 也 
不 绑 定 。 然 而 ， 通 过 一 些 轻微 的 变化 便 能 实现 这 两 个 属性 。 


11. 3. 1 不 隐藏 


述 简单 直接 的 实现 不 具备 隐藏 性 的 原因 与 字典 攻击 有 关 ， 这 种 攻击 我 们 
在 口令 安全 中 讨论 过 。 OD nn 
我 这 接收 到 c 一 f(s)， 就 能 尝试 将 f 作 用 于 所 有 可 能 的 秘密 上 ， 并 检查 相应 的 
输出 是 否 与 c 匹配。 通过 这 种 方法 ,在 解 承诺 阶段 之 前 ， 你 能 够 获得 关于 秘密 
的 某 些 信息 

例如 ， 如 果 你 事先 知道 我 的 密 钥 是 0 或 者 1。 这 是 在 应 用 中 一 个 常见 的 案例 ， 
被 称 为 “比特 承诺 ”， 因 为 我 承诺 的 是 一 个 单个 的 比特 。 如 果 我 已 经 发 送 给 你 c= 
f(s)， 你 就 能 简单 地 计算 f(0) 和 f(1)， 看 看 哪 一 个 为 c 来 确定 我 的 秘密 ;。 

更 一 般 地 ， 像 在 口令 的 情况 一 样 ， 即 使 可 能 秘密 的 范围 很 大 ， 你 也 可 能 对 
我 如 何 选 择 秘密 具有 某 些 知 识 。 如 果 存 在 一 个 可 能 的 秘密 小 子 集 ， 你 怀疑 我 可 
能 会 在 这 个 小 子 集中 选择 秘密 ， 你 就 可 以 尝试 每 一 个 可 能 的 候选 值 。 当 然 ， 你 
的 怀疑 或 许 是 错误 的 : 我 可 能 没有 选择 这 个 集合 中 的 任何 一 个 。 然 而 ， 如 果 存 
在 一 个 不 可 忽略 的 机 会 表明 你 的 怀疑 是 准确 的 ， 我 们 就 应 该 认为 安全 性 受到 了 
削弱 。 

例如 ， 考 虑 一 个 猜 数 游戏 。 假 定数 的 范围 限定 为 1 到 1012 。 我 对 我 猜 的 数 
进行 承诺 ， 然 后 你 揭露 你 的 数字 ， 接 着 我 展示 我 的 猜测 。 如 果 我 的 猜测 与 你 的 
数字 相差 107 以内， 那么 我 遍 。 你 能 在 我 说 出 我 猜 的 数字 前 知道 我 的 猜测 么 
原则 上 来 说 ， 当 你 得 到 承诺 = 三 (我 的 猜测 ) 时 ， 你 能 够 把 所 有 10" 个 可 能 数 
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字 输 入 f 来 计算 每 个 结果 并 和 cc 比较。 你 可 能 并 不 情愿 这 样 做 。 然 而 ， 如 果 你 
知道 我 的 偏好 是 以 朋友 的 生日 作为 猜测 ， 你 就 可 能 使 用 极 小 的 工作 量 命中 我 的 
猜测 。 在 某 些 应 用 中 ， 一 次 合理 的 尝试 也 许 能 带 来 本 质 性 的 优势 。 
在 某 种 意义 上 ， 问 题 出 在 我 的 秘密 没有 足够 的 不 可 预测 性 。 为 了 弥补 这 个 
问题 ， 协 议 中 需要 更 多 的 随机 性 。 下 面 是 改进 的 协议 。 
。 我 选择 一 个 大 随机 数 ”> ( 称 作 一 个 临时 数 ，nonce) 仅仅 用 于 这 一 个 场 
合 。 我 将 r 和 我 的 秘密 结合 起 来 ， 获 得 一 个 新 的 数 &， 使 得 任何 知道 
的 人 可 以 计算 出 s。 

。 为 了 承 访 我 的 秘密 ， 我 计算 c 二 A(k)， 并 把 结果 c 发 送 给 你 。 

。 为 了 解 承诺 ， 我 把 数字 & 发 送 给 你 。 你 可 以 从 & 中 推导 出 我 的 秘密 *。 
你 也 能 通过 计算 f(k) 并 检查 它 和 我 在 承诺 阶段 发 给 你 的 c 值 相 匹 配 来 
判断 我 没有 说 诉 。 

在 我 解 承 诺 前 ， 你 关于 我 选择 的 临时 数 一 无 所 知 。 因 为 临时 数 有 这 么 多 的 
可 能 性 ， 所 以 组 合 的 & 值 也 有 很 多 可 能 性 ， 你 不 可 能 尝试 所 有 的 可 能 .这 将 会 
花费 你 太 长 时 间 。 因 此 ， 这 个 改进 后 的 协议 似乎 是 安全 的 ， 能 够 抵抗 我 们 考虑 
的 攻击 。 

用 什么 公式 将 数字 和 & 相 结合 ?结合 的 精确 方式 并 没有 那么 重要 ， 只 要 
双方 〈 我 和 你 ) 事先 商定 好 就 行 ， 因 此 一 旦 你 知道 上 后 就 能 清楚 地 知道 我 的 秘 
密 s。 在 本 书 中 ， 我们 给 出 一 个 人 简单、 合理 、 有 效 的 结合 方法 。 假 设 秘 密 ;是 比 
工 小 的 非 负 数 〈 在 比特 承诺 例子 中 ，T 一 2， 在 猜 数 字 例 子 中 ，T 王 102 十 1)。 工 
的 值 是 事先 约定 好 的 ， 它 是 协议 的 一 部 分 并 且 被 所 有 参与 方 知道 。 一 个 结合 临 
时 数 ”和 秘密 值 * 的 公式 如 下 : 

k= Fk 二 3 

由 初等 数论 ， 因 为 是非 负数 并 且 小 于 工 ， 所 以 & 被 工 除 的 余数 是 y， 也 就 

是 ;是 上 模 工 的 代表 元 。 


11. 3.2 不 绑 定 


我 们 实现 的 承诺 协议 不 是 绑 定 的 ， 原 因 是 单身 盟 数 不 需 要 是 一 对 一 的 。 例 
如 ， 假 设 单 向 函数 是 FCz) 王 2z(mod 660 761) ， 因 为 模 数 是 719 和 919 的 乘积 ， 
于 是 %(660 761) 二 718X918， 即 502 456。 我 发 送 给 你 c 王 120 041。 当 到 了 解 
承诺 阶段 ， 我 可 以 发 送 666 或 是 666 十 659 124 作为 我 的 秘密 ， 因 为 这 些 值 对 于 
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ff 有 相同 的 像 。 

有 人 可 能 认为 ， 可 以 通过 限制 了 的 输入 小 于 8(660 761) 来 补救 这 个 问题 。 
这 没有 解决 这 个 问题 ， 可 以 验证 ，25%7 寺 1(mod 660 761)。 因 此 ， 例 如 ， 
f(666)=f(666 十 54 927) 。 

可 以 看 到 单 向 性 不 足以 实现 承诺 。 在 14 章 中 ， 我 们 定义 了 消息 摘要 函数 。 
我 们 将 会 看 到 一 个 消息 摘要 函数 恰好 具有 实现 承诺 所 需 的 属性 。 


11.4 思考 题 


1. 考虑 下 列 模 乘 寡 的 表格 : 


模 7，” 乘 过 ( 底 为 3) 





这 样 一 个 表格 能 够 用 于 确定 模 对 数 〈( 也 被 认为 是 离散 对 数 )。 对 于 给 
定 的 数 y，mod 7 logsy 的 值 是 最 小 的 非 负 整数 +， 使 得 37 圭 y (mod 7)。 例 
如 ，mod 7 logs6 的 值 为 3。( 只 需要 在 右边 一 栏 找到 6， 然后 查看 它 的 左边 
寻找 到 3 。) 

对 于 这 个 问题 ， 构 建 以 3 为 底 模 11 的 类 似 表格 ， 使 用 它 来 确定 下 列 模 
对 数 。 140| 
(a) mod 11 log,6=? 

(b) mod 11 logs2=? 
(Cc) mod 11 log,4=? 

2. 前 一 个 问题 向 你 提示 了 一 个 计算 以 5 为 底 y mod m 的 对 数 的 算法 ， 即 基于 值 
m 和 5 构建 一 个 乘 究 表格 ， 然 后 在 第 二 列 中 查找 y， 并 输出 对 应 的 指数 zx。 
(a) 运用 欧 拉 定理 (7.7 节 ) 解释 为 什么 表格 需要 不 超过 mm 一 1 行 ? 

(b) 构建 一 个 这 样 的 表格 需要 多 少 次 乘法 ?给 出 基于 m 的 公式 。 
(c) 需要 多 少时 钟 周期 ? 基于 mm 给 出 估计 时 钟 周 期 的 公式 。 
(d) 回顾 10. 5 节 问 题 14 中 描述 的 MegaComp 计算 机 。 当 模 为 50 位 数 的 时 
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候 ， 使 用 这 种 算法 计算 模 对 数 ，MegaComp 大 约 需要 多 长 时 间 ? 


3. 有 一 个 已 知 的 比 建 表 方 法 更 好 的 计算 模 对 数 的 算法 (算法 很 复杂 ， 本 书 不 做 


深入 解释 )。 当 模 数 为 m 时 ， 需 要 的 时 钟 周 期 数 通 过 如 下 公式 来 估计 (其 中 
k 是 模 的 位 数 ): 
k2 。10OVe logok) 

(a) 当 模 数 m 是 一 个 50 位 的 数 时 ， 使 用 更 好 的 算法 ，MegaComp 计算 机 计算 
模 对 数 需要 多 长 时 间 ? 代入 上 述 公 式 ， 利 用 普通 计算 器 计算 。 

(b) 现在 MegaComp 已 经 配备 了 更 好 的 算法 以 解决 模 对 数 问 题 。 这 里 我 们 的 
目标 是 探索 它 的 极限 。 多 少 位 的 模 数 能 够 让 MegaComp 花费 超过 1000 
年 的 时 间 去 计算 一 个 模 对 数 问题 ? 〈 试 试 50 位 ，60 位 ，70 位 ，…) 


. 为 选择 一 个 好 的 安全 参数 ， 我 们 必须 考虑 所 使 用 的 方案 中 算法 〈 例 如 加 密 ) 


运行 所 需要 的 时 间 和 Eve 攻破 它 所 需 的 时 间 (比如 在 没有 密 钥 的 情况 下 解 
密 ) 。 当 做 这 种 分 析 时 ， 我 们 将 假设 Eve 使 用 的 是 可 能 的 最 好 的 算法 ， 并 且 
能 够 使 用 最 快 的 计算 机 。 

对 于 基于 模 乘 寡 的 加 密 方案 ， 使 用 的 安全 参数 是 模 数 的 位 数 &。 我 们 已 
经 看 到 ， 重 复 平 方 算法 对 模 乘 索 运 算 来 说 是 一 个 很 好 的 算法 : 所 需 的 时 钟 周 
期 数 大 体 为 13，2， 铝 。 我 们 也 知道 存在 计算 其 逆 运 算 ( 模 对 数 ) 的 算法 ， 
它 需 要 的 时 钟 周 期 数 大 约 为 2。，10V** (ooh) 。 

假设 Alice 的 计算 机 每 秒 运行 103 个 时 钟 周期 。 虽 然 这 并 不 慢 ， 但 她 必须 
假设 Eve 可 能 拥有 一 台 每 秒 能 够 计算 102 个 时 钟 周期 的 机 融 。 假 设 Eve 使 用 
上 述 的 模 对 数 算法 。 那 么 Alice 是 否 能 够 选择 一 个 安全 参数 &， 使 得 她 能 够 在 
一 秒 内 就 加 密 一 个 明文 分 组 ， 同 时 还 能 防止 Eve 花费 很 少时 间 就 能 解密 它 ? 
请 给 出 一 个 这 样 的 & 值 并 加 以 解释 。 注 : 可 以 用 代数 知识 来 获得 答案 ， 但 在 
这 种 情况 下 ， 使 用 计算 器 尝试 不 同 的 & 值 也 是 可 以 接受 的 。 


: Arnold 提出 了 一 个 高 度 安全 的 新 单 癌 孔 数 方案 ， 安 全 参数 是 模 数 的 位 数 。 


我 们 不 会 精确 地 告诉 你 这 个 也 数 是 如 何 定 义 的 ( 它 是 保密 的 )， 但 是 能 告诉 
你 计算 需要 多 长 时 间 (关于 上 的 函数 )。 令 A(Cz) 表示 提出 的 单 癌 滑 数 。 
前 向 : 给 定 输入 zx， 计算 A (x) 花费 2。 久 个 时 钟 周 期 。 

后 向 : 给 定 输入 >， 计算 y 在 A 胃 数 下 的 原 像 花费 10。A "个 时 钟 周 期 。 
基于 你 所 知道 的 ， 你 对 提出 的 单 回 果 数 有 什么 看 法 ? 对 于 推 存 用 于 互联 网 金 
融 交 易 ， 它 是 否 足 够 安全 ? 
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6. Dopey、Sneezy 和 Doc 每 个 人 提出 了 一 个 单 向 函数 。 对 于 他 们 的 每 一 个 方案 ， 
找到 一 个 像 〈 前 回 ) 所 需 的 时 钟 周 期 数 以 及 找到 一 个 原 像 〈 后 向 ) 所 需 的 时 
钟 周期 数 ， 在 下 表 中 以 一 个 关于 安全 参数 n 的 公式 给 出 。 基 于 这 个 表格 ， 哪 
个 方案 是 最 好 的 ， 为 什么 ? 


寻找 像 需 要 的 时 钟 周 期 寻找 原 像 需要 的 时 钟 周期 





ee n—100 000 2 十 100 000 


第 12 章 | 


A Cryptography Primer: Secrets and Promises 


Diffie-Hellman 指数 密 钥 协商 协议 


12.1 动机 


传统 的 、 对 称 密 钥 密码 系统 中 的 一 个 难点 在 于 如 何 让 双方 共享 一 个 任何 其 
他 人 不 知道 的 密 钥 。 这 在 双方 无 法 会 面 仅 能 通过 像 因特网 这 样 不 安全 的 信道 进 
行 通信 的 情况 下 尤为 困难 ， 

可 以 试图 通过 事先 为 每 个 人 提供 密 钥 来 克服 上 述 困难 。 然 而 ， 这 会 引入 另 
一 个 难题 。 假 设 有 一 百 万 零 一 个 人 要 加 入 通信 。 我 们 事先 无 法 得 知 谁 想 和 谁 进 
行 保密 通信 ， 因 此 必须 给 每 一 个 用 户 一 百 万 个 密 钥 ， 每 一 个 密 钥 对 应 一 个 我 们 
可 能 要 通信 的 人 。 我 不 可 能 记 住所 有 的 密 钥 ， 因 此 必须 把 它们 存储 在 电脑 上 。 
假设 Eve 窍 听 了 我 的 通信 并 且 存储 了 所 有 的 信息 ， 如 果 她 设法 冯 和 人 我 的 电脑 并 
得 到 了 我 的 密 钥 ， 她 将 可 以 解密 所 有 的 信息 。 

更 糟糕 的 是 ， 假 设 有 另 一 个 人 想 要 加 入 通信 群 。 为 了 新 加 入 的 人 能 够 和 每 
一 个 人 通信 ， 我 们 必须 给 每 一 个 已 在 通信 群 中 的 人 提供 一 个 新 的 密 钥 。 那 么 如 
何 才能 把 这 些 新 的 密 钥 安全 地 传递 给 这 些 人 呢 ? 〈 谁 能 作为 分 配 密 钥 的 “我 们 ” 
呢 ? 你 相信 谁 能 安全 地 生成 和 分 发 密 钥 呢 ?) 


12.2 背景 


指数 密 钥 协商 (exponential key agreement)e 协议 提供 了 你 我 在 不 安全 信道 
通信 时 协商 密 钥 的 一 个 方法 。 我 们 仅 能 在 一 次 通信 会 话 中 使 用 这 个 密 钥 ， 然 后 
丢弃 它 。 因 为 我 们 的 电脑 不 会 保留 密 钥 ， 即 使 Eve 后 来 侵 人 了 我 们 的 电脑 ， 她 
也 无 法 解密 我 们 以 前 通信 的 信息 。 在 这 里 不 需要 为 使 用 互联 网 的 人 分 发 数 以 百 
万 计 的 密 钥 ， 任 何 两 个 人 都 能 在 他 们 需要 的 时 候 协 商 出 一 个 密 钥 。 

指数 密 钥 协 商 的 安全 性 部 分 地 依赖 于 模 对 数 问题 的 计算 困难 性 。 正 如 前 一 


昌 也 被 称 为 指数 密 钥 交 换 (exponential key exchange) 。 
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章 讨论 过 的 ， 如 果 这 个 问题 确实 是 计算 困难 的 ， 则 模 琵 矫 给 我 们 提供 了 一 个 
“隐藏 ”秘密 数字 xz 的 好 方法 ， 也 就 是 计算 一 个 依赖 于 工 的 数 ， 但 是 并 不 容易 
从 这 个 数 中 计算 出 来 。 我 们 利用 重复 平方 法 计算 2*(mod m)。 

本 章 中 ， 我 们 使 用 乘 寡 的 一 些 其 他 特殊 性 质 。 特 别 地 ， 我 们 将 使 用 一 个 事 
实 ， 那 就 是 XX 的 Y 次 方 再 做 Z 次 方 等 于 XX 的 Z 次 方 再 做 Y 次 方 。 符 号 表示 
如 下 : 

一 

这 个 公式 即使 在 模 算 术 中 也 是 成 立 的 。 


12.3 协议 


假设 Alice 和 Bob 希望 选择 一 个 密 钥 以 帮助 他 们 在 不 安全 信道 上 秘密 通信 。 
假定 网 络 中 所 有 的 人 都 知道 模 m 的 值 ，Alice 私下 选择 一 个 大 随机 数 A， 并 用 重 
复 平方 算法 计算 24 (mod m)， 我 们 把 这 个 计算 结果 叫 作 AlicePart:， 因 为 这 是 
她 对 选择 共享 密 钥 的 贡献 。 她 把 AlicePart 发 送 给 Bob。 类 似 地 ，Bob 也 私下 选 
择 一 个 大 随机 数 B， 计 算 28(mod m)， 我 们 称 为 BobPar:， 接 着 ， 他 把 BobPart 
发 送 给 Alice。 

现在 双方 都 能 计算 出 他 们 的 共享 密 钥 。Alice 私下 通过 模 算术 计算 BobPart 
的 A 次 宕 得 到 她 的 密 钥 。 同 样 ，Bob 也 通过 模 算术 计算 AlicePart 的 已 次 老 得 
到 他 的 密 钥 。 根 据 先前 描述 的 乘 寡 的 性 质 ，Alice 计算 的 密 钥 和 Bob 计算 的 密 铀 
是 相同 的 ， 如 下 所 示 (这 里 都 采用 模 算术 ): 

Alice 的 密 钥 = BobPart^ = 二 (28)4 二 (24)8 二 AlicePart3 一 Bob 的 密 铀 

因此 ， 双 方 现在 有 了 一 个 相同 的 密 钥 ， 并 能 保护 他 们 在 不 安全 网 络 中 通信 
时 的 隐私 ， 比 如 利用 传统 的 单 密 钥 密码 系统 。 


12.4 安全 


Eve 能 从 窃听 Alice 和 Bob 间 的 通信 中 得 到 什么 呢 ? 她 能 得 到 Alice 用 作 
AlicePart 的 数值 和 Bob 用 作 BobPart 的 数值 。 因 此 ,原理 上 她 可 以 确定 密 钥 
值 。 例 如 ， 她 计算 以 2 为 底 AlicePart 的 模 m 对 数 A。 然 后 ， 她 能 够 像 Alice 一 
样 计算 BobPart* 。 当 然 ， 因 为 模 数 很 大 ， 这 种 方法 将 花费 攻击 者 Eve 长 到 不 切 
实际 的 时 间 去 计算 A 除非 她 知道 一 个 解决 模 对 数 问 题 的 激动 人 心 的 有 效 算法 ， 
然而 目前 没有 )。 同 样 ， 她 可 以 尝试 去 计算 Bob 的 秘密 数字 B， 但 是 这 可 能 同样 


困难 。 

Eve 是 耕 还 有 其 他 的 方法 ? 有 没有 男 一 种 方法 ，Eve 可 以 从 AlicePart 和 
BobPart 计算 出 密 钥 ?我 们 不 知道 ， 可 能 有 ， 但 是 目前 没有 已 知 的 更 好 的 方法 。 

你 的 隐私 依赖 于 某 些 问题 是 计算 困难 的 ， 这 会 让 你 紧张 么 ? 也许， 解决 这 
些 问题 本 质 上 是 十 分 困难 的 ， 没有 人 会 发 现 一 个 好 算法 去 解决 它们 ， 因 为 根本 
束 不 存在 。 当 然 ， 有 一 些 计算 问题 ， 我 们 可 以 用 数学 方法 证 明 不 会 存在 好 的 算 
法 。 然 而 ， 在 算法 人 研究 领域 已 经 有 一 些 突 破 ， 发 现 了 某 些 曾 经 认为 不 存在 的 
算法 。 

密码 学 依赖 于 不 确定 性 似乎 是 不 可 避免 的 。 有 人 说 ， 密 码 学 家 很 少 能 踏实 
地 睡觉 。 然 而 ,你 应 该 记 住 一 个 重要 但 有 点 难以 理解 的 观点 。 对 于 传统 加 密 系 
统 〈 比 如 典型 的 单 密 钥 加 密 方 案 )， 安 全 性 依赖 于 一 个 更 复杂 和 混乱 的 计算 问 
题 的 难度 。 你 可 能 会 认为 这 将 使 得 这 类 问题 更 加 难以 解决 ， 但 事实 上 ， 混 乱 也 
许可 以 掩盖 本 质 上 的 简单 。 似 非 而 是 的 是 ， 模 对 数 问题 在 数学 上 的 简单 性 和 清 
晰 性 使 你 更 有 信心 ， 因 为 如 果 存 在 一 个 根本 性 的 弱点 ， 它 将 会 更 加 明显 。 话 说 
回来 ， 谁 知道 呢 ? 


12.5 中间人 攻击 


有 一 种 众所周知 的 攻击 称 作 中 间 人 攻击 Eve 可 以 用 它 攻 破 指数 密 钥 协商 协 
议 。 这 种 攻击 不 依赖 于 Eve 能 够 解决 模 对 数 问 题 ， 而 是 依赖 于 Eve 可 以 使 Alice 
和 Bob 确信 他 们 在 彼此 通信 ， 但 事实 上 ， 他 们 是 在 和 Eve 通信。Alice 通过 网 络 
发 送 AlicePart 给 Bob， 攻 击 者 Eve 截取 了 这 个 信息 ， 她 选择 数值 正 并 做 模 算 术 
计算 2E 作 为 自己 的 EvePari 值 ， 并 把 EvePart 发 送 给 Alice， 假 装 她 自己 是 Bob 
上 且 发 送 给 Alice 的 值 是 BobPart。Alice 通过 计算 EvePaxrt 刀 得 到 密 铀 ，Eve 也 能 通 
过 AlicePartE 计 算出 相同 的 密 钥 。 现 在 ， 当 Alice 用 她 的 密 钥 加 密 消息 并 通过 网 
络 发 送 给 Bob 时 ，Eve 就 能 截取 信息 并 且 解 密 。 

为 了 保证 Alice 和 Bob 不 能 检测 到 攻击 ，Eve 需 要 对 Bob 做 同样 的 欺骗 。 假 
装 成 Alice，Eve 发 送 EvePart 给 Bob，Bob 将 EvePart 当做 是 AlicePart 并 发 送 
自己 的 BobPart 值 给 Alice。Eve 截取 这 个 值 ， 同 样 也 得 出 了 Bob 将 使 用 的 密 钥 。 
每 次 Alice 向 Bob 发 送信 息 ，Eve 都 截取 它 并 且 解 密 (使 用 她 与 Alice 共享 的 密 
钥 )， 阅 读 明 文 信 息 ， 然 后 对 明文 再 次 加 密 (使 用 她 和 Bob 共有 的 密 钥 )， 然 后 
把 它 发 送 给 Bob。 类 似 地 ，Bob 每 次 发 送信 息 给 Alice，Eve 截取 它 ， 然 后 使 用 
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恰当 的 密 钥 解密 且 再 加 密 发 送 给 Alice。 因 此 ，Eve 可 以 看 到 每 一 条 发 送 的 信 
息 ， 且 Alice 和 Bob 完全 不 知情 (Eve 可 以 用 同样 的 方法 改变 信息 内 容 。) 

这 种 攻击 表明 了 通信 双方 安全 地 识别 对 方 的 必要 性 。 现 在 有 很 多 方法 解决 
这 个 问题 ， 但 现实 中 也 存在 一 些 方法 使 参与 方 不 能 安全 地 识别 对 方 ， 也 就 是 ， 
使 用 了 加 密 技术 来 使 他 们 自己 确信 和 是 安全 的 ,但 事实 上 没有 做 到 。 


12.6 思考 题 


1. 你 是 GuinEVEre，Alice 和 Bob 使 用 以 2 为 底 模 83 721 983 的 指数 密 钥 协商 。 
Alice 发 送 78 329 101 作为 她 的 部 分 ，Bob 发 送 62 974 812 作为 他 的 部 分 。 
你 锚 听 到 了 它们 。 

你 想 得 知 他 们 协商 一 致 了 什么 密 钥 。 幸 运 的 是 ,巫师 Merlin 是 你 的 伙 
伴 ， 他 能 为 你 计算 一 个 〈 且 仅 有 一 个 ) 模 对 数 。 
(a) 你 会 要 求 他 为 你 计算 什么 模 对 数 ? 确保 给 他 所 有 必要 的 输入 。 
(b) 假设 他 的 回答 是 数字 Z， 利 用 Z 给 出 Alice 和 Bob 的 密 钥 公式 。 
(c) Merlin 故意 找茬 ， 拒 绝 回 答 他 能 看 到 的 Alice 和 Bob 彼此 发 送 的 任何 数 
的 模 对 数 问 题 。 在 这 种 情况 下 回答 (a) 和 〈b)。 
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计算 安全 的 单 绷 密码 系统 





13. 1 现实 世界 中 安全 的 分 组 密码 


我 们 已 经 看 到 加 法 密码 是 不 安全 的 (除非 使 用 一 次 性 密码 本 )。 如 果 你 坚持 
使 用 一 个 密 钥 并 且 以 加 法 密码 作为 分 组 密码 ， 那 么 这 个 密码 系统 很 容易 受到 明 
文 - 密 文 攻击 。 其 他 攻击 方式 也 同样 有 效 。 

然而 ， 确 实 存在 许多 相对 安全 的 密码 系统 。 其 中 最 著名 的 是 DES (Data En- 
cryption Standard， 数 据 加 密 标准 )。DES 于 20 世纪 70 年 代 被 美国 国家 标准 局 (Na- 
tional Bureau of Standards，NBS) 提出 ,目的 是 选择 一 个 用 于 非 机 密 数 据 的 标准 密 
码 系 统 。1974 年 ， 为 了 响应 NBS 对 密码 系统 的 公开 征集 ，IBM 提交 了 一 个 早 在 十 
年 前 开发 的 Lucifer 密码 系统 。NBS 请 求 国 家 安全 机 构 (NSA) 帮助 评估 这 个 密码 
系统 。NSA 对 其 进行 了 修改 ,将 密 钥 长 度 从 112 位 减少 到 只 有 56 位 (这 是 一 个 折 
中 ，NSA 本 来 试图 将 其 减少 到 48 位 )。 这 个 系统 被 NBS 最 终 认证 批准 使 用 。 需 要 
与 政府 秘密 通信 的 机 构 被 期 望 使 用 DES 〈 除 非 材 料 是 高 密级 的 )。1979 年 ， 美 国 银 
行家 协会 推荐 使 用 DES 进行 加 密 。 因 此 DES 得 到 了 非常 广泛 的 应 用 。 

这 里 有 一 点 需要 注意 ， 这 项 技术 中 的 56 位 密 钥 无 法 形成 足够 大 的 密 钥 空 
间 。 请 记 住 DES 是 用 于 银行 交易 的 。 可 能 的 密 钥 数 大 约 是 101。 在 1997 年 ， 
为 了 响应 一 个 (寻找 DES 密 钥 的) 挑战 ， 一 个 叫 作 DESCHALL 的 团队 在 挑战 
公告 发 布 96 天 后 ， 通 过 暴力 搜索 找到 了 DES 密 钥 。 这 次 搜索 使 用 了 几 千 台电 
脑 ， 这 些 电 脑 的 拥有 者 通过 互联 网 提供 服务 。 在 1998 年 年 初 ， 一 个 相似 的 挑 
战 在 41 天 内 完成 。 电 子 前 沿 基 金 会 (The Electronic Frontier Foundation) 是 一 
个 非 营 利 组 织 ， 它 花费 了 至 少 250 000 美元 建立 了 一 个 专用 机 器 Deep Crack， 
Deep Crack 能 在 56 小 时 内 找到 一 个 DES 密 钥 。 在 2005 年 ， 美 国 国家 标准 与 技 
术 局 (NIST) (其 前 身 为 NBS) 撤销 了 DES 标准 。 

许多 DES 的 变种 更 加 安全 。 一 个 名 为 3DES 的 系统 包含 对 明文 的 三 次 加 
密 ， 一 次 接 一 次 ， 每 一 次 加 密 都 使 用 不 同 的 密 铀 。 (双重 DES 并 不 比 普通 的 
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DES 更 安全 ， 我 们 不 再 探究 其 中 的 原因 。 3DES 有 时 只 使 用 两 个 密 钥 ， 一 个 用 
于 第 一 次 加 密 和 第 三 次 加 密 ， 另 一 个 用 于 中 间 的 加 密 。 当 DES 这 样 使 用 时 ， 密 
钥 的 位 数 是 112。NIST 批 准 3DES 可 以 使 用 到 2030 年 。 

在 DES 发 明 以 后 ， 一 些 与 政府 无 关 的 个 人 陆续 发 明了 其 他 一 些 密码 系统 。 
IDEA (国际 数据 加 密 算法 ) 是 由 Lai 和 Massey 发 明 的 ， 其 密 钥 长 度 是 128 位 。 
有 一 些 系统 被 提出 却 被 证 明 是 不 安全 的 。NSA 设计 了 一 个 名 叫 Skipjack 的 密码 
系统 ， 该 系统 被 用 于 政府 授权 制造 商 的 芯片 制造 中 。Skipjack 的 设计 开始 是 保 
蜜 的。 因此 ， 试 图 攻破 Skipjack 的 密码 分 析 者 不 知道 它 是 如 何 设 计 的 。 鉴 于 此 ， 
一 些 人 对 Skipjack 的 安全 性 不 大 信任 。Skipjack 于 1998 年 被 解密 。 

在 2001 年 ，NIST 挑选 新 的 加 密 标准 ， 并 指定 高 级 加 密 标准 (AES) 作为 
新 的 加 密 标 准 。 它 支持 128 位 、192 位 和 256 位 三 种 密 钥 长 度 。 


13.2 密 文 分 组 链 


在 第 3 章 的 3. 2 节 中 ， 我 们 讨论 了 分 组 密码 的 思想 : 从 一 个 加 密 有 限 长 度 
分 组 的 加 密 系 统 开 始 ， 我 们 能 够 构造 一 个 可 以 加 密 任 意 长 度 消 息 的 密码 系统 。 
我 们 概述 了 这 样 的 一 种 方法 ， 称 为 ECB 模式。 在 3.4 节 中 讨论 过 ECB 模式 是 
不 安全 的 。 在 本 市 中 ， 我们 概述 一 个 更 安全 的 分 组 密码 的 构造 方法 ， 叫 作 密 文 
分 组 链 (Cypher Block Chaining，CBC) 。 

ECB 的 问题 是 每 一 个 明文 分 组 的 加 密 都 独立 于 其 他 分 组 。CBC 也 许 是 可 以 
想到 的 最 简单 的 消除 独立 性 的 方法 ， 如 图 13. 1 所 示 。 第 一 个 密 文 分 组 依赖 于 
第 一 个 明文 分 组 。 第 二 个 密 文 分 组 依赖 于 第 二 个 明文 分 组 和 第 一 个 密 文 分 组 
(从 而 间接 地 依赖 于 第 一 个 明文 分 组 )。 第 三 个 密 文 分 组 依赖 于 第 三 个 明文 分 组 
和 第 二 个 密 文 分 组 (从 而 间接 地 依赖 于 第 一 个 和 第 二 个 明文 分 组 )。 依 次 类 推 。 

一 个 分 组 加 密使 用 相同 的 密 钥 。 

特别 地 ， 为 了 得 到 第 二 个 密 文 分 组 ， 先 使 用 某 种 方式 将 第 一 个 密 文 分 组 与 
第 二 个 明文 分 组 进行 结合 。 为 达到 我 们 的 目的 ， 模 加 法 就 足够 了 : 两 个 数 相 加 
的 和 对 m 取 模 ，m 是 10 一 人 分 组 多 位 娄 。 然 后 使 用 分 组 加 密 方 法 加 密 两 数 的 和 S 。 


昌 在 真实 的 系统 中 ， 结 合 略 有 不 同 。 每 一 个 分 组 以 2 为 基 来 表示 (二进制 的 ， 数 字 计 算 机 所 使 用 
的 数字 系统 )。 两 个 分 组 的 每 一 对 相应 的 二 进 制 位 相 加 后 对 2 取 模 ， 得 到 新 的 二 进 制 位 。 由 此 
获得 的 二 进 制 序列 用 来 表示 组 合 的 数字 ， 并 使 用 分 组 加 密 对 其 进行 加 密 。 相 对 于 我 们 使 用 的 系 
统 ， 这 种 结合 方法 对 计算 机 而 言 更 简单 。 
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图 13.1 密 文 分 组 链 图 


类 似 地 ， 将 第 二 个 密 文 分 组 相 加 得 到 第 三 个 密 文 分 组 ， 然 后 加 密 该 结果 。 依 次 
类 推 。 

这 个 方法 不 像 人 们 希望 的 那么 安全 。 如 果 两 个 消息 的 前 儿 个 分 组 相同 ， 对 
应 的 密 文 也 会 相同 。 基 于 这 个 原因 ， 对 这 个 方案 进行 稍微 的 改动 : 在 加 密 第 一 
个 明文 分 组 之 前 ， 将 它 与 一 个 叫 作 初始 向 量 〈 缩 写 是 IV) 的 随机 数 相 结 合 。 因 
此 IV 在 密码 分 组 链接 中 扮 读 着 第 0 个 密 文 分 组 的 角色 。 如 来 不 知道 初始 癌 量 ， 
预期 的 消息 接收 者 将 不 能 解密 消息 ， 因 此 初始 向 量 〈( 明 文 ， 也 就 是 说 ， 未 加密 
的 ) 随 着 加 密 的 信息 一 起 传送 。 

使 用 了 初始 回 量 后 ， 即 使 两 个 明文 起 始 部 分 是 相同 的 ， 对 应 密 文 的 起 始 攻 
分 也 很 可 能 是 不 同 的 ， 原 因 是 用 于 不 同 加 密 的 初始 癌 量 很 可 能 是 不 同 的 。 实 际 
上 ， 只 要 初始 向 量 不 同 ， 即 使 明文 完全 相同 ， 密 文 也 是 不 同 的 。 使 用 随机 性 有 
助 于 使 系统 更 加 安全 。 


13.3 指数 密码 


在 本 书 中 ， 我 们 只 研究 一 种 安全 的 单 钥 密码 系统 ， 即 指数 密码 。 这 个 密码 
系统 仅 以 教学 为 目的 。 它 的 速度 太 慢 以 至 于 无 法 在 实际 中 应 用 。 它 对 我 们 而 言 
是 有 用 的 ， 因 为 它 容易 描述 而 且 可 以 很 好 地 说 明 RSA (Rivest、Shamir 和 Adle- 
man) 的 原则 。 

指数 密码 系统 的 实例 由 模 数 mx 来 确定 。 你 可 以 把 这 个 模 数 想象 成 一 个 系统 
参数 。 这 个 模 数 应 该 选取 为 一 个 很 大 的 数 。 

假设 选择 了 素 模 数 m 而 且 每 个 人 都 知道 mm。 加密 函 数 是 
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encrypt (dear, key) = dear®y (mod m) 

这 里 clear 的 值 应 该 是 一 个 正 整数 且 小 于 模 数 冯 。 像 往常 一 样 ， 密 钥 应 是 随 
机 选择 的 。 在 这 种 情况 下 ， 密 钥 应 该 是 正 数 且 小 于 mm 一 1。 如 果 密 钥 是 一 个 很 小 
的 整数 〈 比 如 1)， 加 密 将 是 不 安全 的 ,但 是 如 有 果 模 数 是 非常 大 的 理 所 应 当 )， 
随机 选择 的 密 钥 不 可 能 太 小 。 

事实 上 ,不 是 所 有 小 于 m 一 1 的 正 数 都 能 被 用 来 作为 密 钥 ， 原 因 将 在 讨论 
解密 时 显现 。 然 而 ， 存 在 足够 的 密 钥 应 该 不 是 问题 。 

在 开始 加 密 之 前 ， 首 先 考虑 系统 是 否 易 受到 明文 - 密 文 攻击 ， 在 这 种 攻击 中 
Eve 知道 某 些 明文 分 组 和 对 应 的 密 文 分 组 。 从 这 些 信息 中 找到 密 钥 相当 于 求解 
关于 工 的 方程 

br = ¢ {mod m) 
其 中 4 是 明文 , “是 密 文 。 这 是 一 个 模 对 数 问题 ， 我 们 认为 它 是 计算 困难 的 。 因 
此 ， 有 理由 相信 指数 密码 可 以 抵抗 明文 - 密 文 攻击 。 即 使 Eve 知道 很 多 明文 - 密 
文 对 ， 也 可 能 不 会 对 她 有 所 帮助 。 

现在 考虑 解密 。 这 会 用 到 前 面 章节 中 讨论 过 的 数论 ,。 令 * 为 密 钥 的 模 
$(m) 乘法 逆 元 。 那 么 解密 密 文 cyph 的 方法 就 是 求 它 的 次 医 并 对 闷 取 
模 ， 即 

plaintert = cyph’s (mod m) 

这 样 做 可 行 吗 ? 如 果 是 ， 为 什么 ?” 答案 部 分 依赖 于 是 密 钥 的 模 $(m) 乘 

法 逆 元 。 乘 法 逆 元 的 定义 是 
key* s= 1 (mod 4(C72) ) 
这 意味 着 密 钥 乘 以 * 减 去 $m) 的 耕 干 倍数 等 于 1。 令 4 为 这 个 倍数 。 我 们 


key » $= 1 Td * $1 
现在 我 们 使 用 欧 拉 定 理 来 说 明 解 密 方法 (通常) 是 可 行 的 。 在 数论 的 章 市 
中 曾 讨论 过 欧 拉 定理 ， 现 复述 如 下 。 


欧 拉 定理 : 对 于 任意 模 数 mm， 对 任意 与 1 互 素 的 数 0， 
b#m = 1 (mod m) 


我 们 想 说 明 ， 如 果 首 先 求 明 文 的 key 次 竹 并 对 m 取 模 ， 然 后 求 这 个 结果 的 s 


次 窜 并 对 m 取 模 ， 则 最 后 的 结果 就 是 明文 。 


1 


2 
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(clear®y ) = clear®y"s 通过 第 运算 法 则 
clearl tad* $m) 通过 代 换 
一 elear! cleard"sm 通过 医 指 数 加 法 法 则 


一 clearli(clear#*”"")4 通过 大 指数 乘法 法 则 
根据 欧 拉 定 理 ， 由 于 clear 与 m 互 素 (由 于 m 是 素数 ,每 一 个 小 于 m 的 正 
整数 都 与 m 互 素 )， 我 们 得 到 


clears™ = 1 (mod m) 


clear! (clear$™ )4 三 clear!l (1)4 (mod m) 

当然 ，clear114 是 明文 。 因 此 cyph; rem m 就 是 明文 。 

现在 我 们 知道 解密 是 如 何 工 作 的 。 它 是 可 行 的 吗 ? 知道 密 钥 的 人 可 以 解密 
吗 ? 他 们 需要 计算 对 此 xz) 取 模 ， 但 是 这 很 简单 : 因为 m 是 素数 ， 故 $Cm) 王 
m 一 1。 然 后 他 们 需要 计算 密 钥 模 $C(m) 的 乘法 道 元 。 现 在 出 现 一 个 问题 ， 仅 当 
密 钥 与 $(m) 互 素 时 ， 它 才 会 有 乘法 逆 元 。 如 果 这 样 ， 可 以 使 用 欧 几 里 得 算法 
来 寻找 逆 元 。 因 此 ， 如 果 一 个 数 被 选 作 密 钥 ， 欧 几 里 得 算法 应 该 被 用 于 寻找 模 
$Cm) 的 乘法 逆 元 。 如 果 欧 几 里 得 算法 失败 了 ， 应 该 随机 选择 一 个 不 同 的 数 作 
为 密 钥 。 因 为 大 多 数 的 数 与 $(m) 互 素 ， 所 以 只 需 几 次 笑 试 就 可 以 选择 一 个 
有 逆 元 的 数 。 

一 旦 乘法 道 元 确定 了 ， 解 密 便 只 需求 密 文 的 :次 究 并 对 m 取 模 。 使 用 重复 
平方 算法 能 快速 实现 解密 。 


13. 4 如 何 寻 找 大 素数 


二 数 密码 要 求 模 数 是 一 个 大 素数 。 大 系数 也 在 RSA 中 使 用 (将 在 为 一 革 讨 
论 ) 。 如 何 获 得 一 个 大 素数 呢 ? 这 个 问题 的 答案 有 两 部 分 。 

第 一 部 分 是 快速 检测 一 个 数字 是 否 为 素数 的 方法 。 在 欧 拉 证 明 他 的 定理 之 
前 ， 费 马 “〈 一 个 在 数学 界 中 “涉猎 ”的 律师 和 官僚 主义 者 ， 提 出 了 一 些 极其 重 
要 且 有 影响 力 的 数学 思想 ) 证 明了 欧 拉 定 理 的 一 种 特殊 情况 ， 其 中 模 数 mx 是 素 
数 。 在 这 种 情况 下 ，#$Cm) 二 mm 一 1。 费 马 定理 是 说 对 于 每 一 个 素数 mw， 对 所 有 与 
m 互 素 的 数 0， 

Br 三 1 (mod m) (13, 1) 
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模 数 m 不 是 素数 时 上 述 等 式 成 立 吗 ? 一 些 特殊 的 合 数 ( 非 素数 ) 称 为 卡 米 
切 尔 〈Carmichael) 数 ， 它 在 以 下 方面 的 性 质 与 素数 相同 :如果 m 是 一 个 卡 米 
切 尔 数 ， 则 对 于 每 一 个 与 m 互 素 的 数 5， 等 式 (13.1) 成 立 。 然 而 卡 米 切 尔 数 
非常 稀少 。 对 于 大 多 数 合 数 mm， 至 少 有 一 半 的 5 使 等 式 (13. 1) 不 成 立 。 

这 给 出 一 个 测试 m 是 不 是 合 数 的 方法 。 选 择 一 个 随机 数 0， 使 用 重复 平方 
算法 检测 等 式 (13.1) 是 否 成 立 。 如 果 不 成 立 ， 则 已 经 表明 m 不 是 素数 (如 果 
m 是 素数 ,不管 5 的 取 值 是 多 少 ， 等 式 都 将 成 立 )。 如 果 等 式 成 立 ， 选 择 男 一 个 
随机 数 5 并 再 次 尝试 。 运 行 这 个 步骤 30 次 左右 ， 如 果 你 发 现在 每 次 试验 中 等 式 
都 成 立 ， 则 可 以 相当 安全 地 判定 m 要 么 是 一 个 素数 要 么 是 一 个 卡 米 切 尔 数 。 

我 们 如 何 判 定 mx 是 卡 米 切 尔 数 还 是 素数 ? 有 一 种 非常 相似 但 稍微 复杂 的 测 
试 可 以 实现 ， 在 此 不 予 讨论 ， 我 们 也 不 考虑 在 上 面 测试 中 会 出 现 卡 米 切 尔 数 的 
情况 。 

上 面 的 测试 给 我 们 提供 了 一 种 可 以 获得 一 个 100 位 素数 的 方法 。 也 就 是 ， 
选择 一 个 100 位 的 随机 数 ， 并 且 测 试 它 是 否 是 素数 。 如 果 不 是 ， 则 选择 男 一 个 
100 位 的 随机 数 再 次 尝试 。 继 续 下 去 ， 直 到 你 选择 的 数 被 断定 为 素数 。 

上 述 过 程 中 需要 尝试 多 少 个 数 呢 ? 答 案 取 决 于 素数 的 稀 玖 程度 。 如 果 素 数 
非常 少 ， 则 在 找到 一 个 素数 前 可 能 需要 做 大 量 尝 试 。 如 果 素 数 较 为 丰 宣 ， 这 个 
过 程 就 不 会 花费 太 长 时 间 。 

幸运 的 是 ， 素 数 是 充分 多 的 。 数 论 中 的 一 个 重要 定理 称 为 素数 定理 ， 它 本 
质 上 表明 在 位 数 为 & 的 数 中 ， 大 约 2. 3k 个 数 中 有 一 个 是 素数 。 当 上 相当 大 时 ， 
比如 大 于 50， 这 个 估计 才 是 比较 准确 的 。 对 于 k= 二 100， 这 个 定理 说 明 大 约 在 
230 个 数 中 有 一 个 是 素数 。 因 此 ， 在 你 碰 到 一 个 数 是 素数 之 前 的 平均 试验 次 数 
是 230 次 。 这 只 是 平均 值 一 一 在 特定 情况 下 ， 实 验 次 数 可 能 会 更 多 ， 但 极 少 会 
超过 太 多 ， 比 如 2300 次 。 如 果 你 电脑 性 能 好 的 话 试验 速度 会 足够 快 。 


13.5 思考 题 


对 于 前 三 个 问题 ， 你 将 考虑 对 应 于 不 同 模 数 的 不 同 的 指数 密码 。 对 于 每 
一 个 问题 ， 你 将 考虑 几 个 不 同 的 密 钥 。 记 住 对 于 模 数 mx 和 和 密 钥 上 ， 加 密 函 
数 是 
fl(cdear) = cear* (mod m) 


也 记 住 解密 函数 的 规则 具有 以 下 形式 : 
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gl(cyph) = cyph’ (mod m) 


. 对 于 下 面 的 模 数 和 密 钥 值 ， 给 出 解密 的 指数 《也 就 是 说 ， 为 了 得 到 明文 ， 


密 文 需要 求 才 的 次 数 ) 。 如 果 没 有 这 样 的 指数 存在 ， 解 释 为 什么 。 

你 会 发 现 如 下 的 模 逆 表格 是 有 用 的 。 我 们 把 xz 的 乘法 逆 元 写成 x 

(a) 密 钥 二 5， 模 二 17 

(b) 密 钥 二 15， 模 二 17 

(c) 密 钥 和 2， 模 和 19 

(d) 密 钥 和 12， 模 一 19 

(e) 密 钥 二 0， 模 = 二 23 

(f) 密 钥 二 13 ， 模 一 23 

在 前 两 个 问题 中 ， 你 将 使 用 欧 几 里 得 算法 求 * 的 值 (k 的 模 $(m) 乘法 逆 元 )。 
















x | x (mod 16) x | XxX! (mod 18) 党 
0 — 0 — 0 
1 ] ] 1 1 
| 一 2 一 2 — 
3 El 3 一 3 15 
4 一 4 一 4 一 
5 13 5 11 5 9 
6 一 6 二 6 本 
时 时 7 13 7 19 
8 — 8 — 8 — 
9 9 9 一 9 5 
10 一 10 一 10 — 
| 3 11 5 11 — 
12 一 12 一 12 一 
13 5 13 | 13 17 
14 一 14 一 14 一 
15 15 15 一 15 3 
16 一 16 一 
17 17 17 13 
18 — 
19 7 
20 — 
21 21 


2. 部 分 A: 使 用 欧 几 里 得 卡片 确定 8 的 值 。 请 拷贝 、 裁 剪 卡片 ， 并 适当 地 用 胶 


带 将 卡片 粘 在 一 起 。 如 果 给 定 的 密 钥 上 没有 一 个 模 $l(m) 的 乘法 逆 元 ， 你 应 
该 指出 来 ， 并 找 出 一 个 大 于 1 的 整数 整除 和 $(1m)。 

部 分 B: 如 果 你 在 部 分 A 中 成 功 找到 一 个 S， 利 用 代数 、 算 本 和 欧 拉 定理 证 
明 你 发 现 的 解密 函数 确实 是 加 密 函 数 的 逆 运 算 

例 : 模 数 m 二 1091， 密 钥 一 533 

部 分 A: 
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部 分 B: 
令 c 表示 明文 。 


.533 J227 __ .120 991 
(co22a ) 人 


— 01090°111+1 


— (c1090)111 )el 


= (1)ilial 
(a) 模 数 m= 二 503， 是 一 个 素数 。 

i. 密 钥 是 有 = 二 37 

i. 密 钥 是 k= 二 241 

ii， 密 钥 是 & 一 24 
(b) 模 数 mx 二 571， 也 是 一 个 素数 。 

i. 密 钥 是 & 一 133 

i 密 钥 是 k= 二 77 


(mod 1091) 
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第 14 章 | 


A Cryptography Primer: Secrets and Promises 


公 针 密码 系统 和 数字 签名 





14. 1 公 钥 密码 系统 


密 钥 协商 协议 为 事先 互 不 相识 的 两 方 提供 了 一 种 协商 密 钥 的 方法 。 然 而 ， 
有 时 一 方 想 要 在 不 首先 与 为 一 方 交互 的 情况 下 单方 面 发 送 私 密 消息 给 男 一 方 。 
公 钥 加 密 于 20 世纪 70 年 代 由 Diffie 和 Hellman 首次 提出 ， 提 供 了 一 种 解决 这 个 
问题 的 方法 。 

传统 ( 单 钥 ) 密码 学 使 用 相同 的 密 钥 来 加 密 和 人 解密 消息 。 公 和 钥 密 码 学 抛弃 
了 这 种 方式 ， 人 允许 一 个 密 钥 ( 公 和 钥 ) 用 来 加 密 ， 而 为 一 个 密 钥 〈( 私 钥 〉 用 来 
解密 。 

一 个 公 钥 密码 体制 的 建立 和 使 用 过 程 大 致 如 下 。 每 一 个 准备 接收 加 密 消息 
的 人 秘密 地 选择 一 个 私 钥 并 计算 相应 的 公 钥 。 所 有 公 钥 是 可 以 公开 获得 的 。 如 
末 我 想 给 茶 人 发 送 加 密 消 息 ， 那 么 我 查找 她 的 公 钥 ， 并 使 用 该 公 钥 加 密 消 息 发 
送 给 她 ， 只 有 她 能 够 解密 该 消息 。 

这 种 使 用 不 同 的 密 钥 进行 加 密 和 解密 的 想法 看 似 简单 ， 但 事实 上 相对 于 之 
前 的 密码 学 来 说 是 一 个 惊天 动 地 的 突破 。 很 值得 思考 一 下 ， 为 什么 这 个 发 现 这 
么 晚 才 出 现 ; 毕竟 ， 传 统 的 密码 学 已 经 使 用 了 几 千 年 。 为 什么 使 用 两 个 不 同 密 
钥 的 想法 没有 更 早出 现 呢 ? 

值得 注意 的 是 ， 私 钥 和 公 钥 必须 紧密 联系 才能 发 挥 解 密 的 作用 。 从 原则 上 
来 讲 ， 它 们 拥有 相同 的 信息 量 ， 这 看 起 来 似乎 是 如 果 知 道 了 公 钥 就 相当 于 知道 
了 私 钥 (类 似 地 ， 如 果 你 知道 一 个 加 密 函 数 ， 那 么 别人 也 会 认为 你 知道 了 它 的 
逆 ， 即 解密 函数 )。 这 样 来 说 ， 拥 有 两 个 不 同 的 密 钥 将 会 瞩 无 意义 一 一 它们 只 不 
过 是 用 来 表示 同样 信息 的 两 种 不 同方 式 。 

虽然 这 个 论点 是 有 说 服 力 的 ,但 是 存在 缺陷 ， 因 为 它 没 有 考虑 到 计算 能 力 
的 局 限 性 。 拥 有 公 钥 确实 在 原则 上 是 能 够 计算 出 私 钥 的 。 但 是 ， 这 种 计算 即使 
是 在 运算 速度 最 快 的 电脑 上 ， 也 可 能 需要 非 第 多 的 时 间 来 完成 ， 以 至 于 这 在 实 
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际 意义 上 是 不 可 行 的 。 我 猜想 ， 正 是 这 一 错误 论点 的 存在 使 得 公 钥 密码 学 没 能 
在 更 早 的 时 间 里 提出 。 然 而 明晰 这 一 缺陷 ， 甚至 仅仅 是 意识 到 这 一 缺陷 的 存 
在 ， 就 已 经 是 非凡 的 成 就 了 ,， 因 为 这 需要 对 计算 过 程 有 一 定 程度 的 敏感 与 罕 
智 ; 而 在 计算 机 和 理论 计算 机 科学 发 展 之 前 ， 人 们 是 缺乏 这 种 豁 智 的 ，。 


14. 2 ”El Gamal 密码 系统 


做 了 足够 的 介绍 之 后 ， 现 在 我 们 来 描述 一 个 公 钥 密码 系统 。 这 个 系统 是 对 
Tahir El Gamal 提出 的 系统 稍 作 修 改 的 变 体 。 ater tle 
系统 一 一 第 一 个 公 钥 密码 系统 是 RSA (Rivest，Shamir and Adleman) 
统一 一 但 是 只 要 你 了 解 指数 密 钥 协商 协议 ， 理 解 EI Gamal 密码 系统 便 是 非常 
易 的 。 现 在 我 们 来 复习 一 下 指数 密 钥 协商 协议 。 

令 m 作为 全 系统 的 模 数 。 在 密 钥 协商 协议 中 ，Alice 选择 一 个 秘密 随机 数 
A， 然 后 发 送 24 (mod m) 给 Bob，Bob 同样 选择 一 个 秘密 随机 数 B， 然 后 发 送 
28 (mod m) 给 Alice。 随 后 他 们 都 能 计算 出 密 钥 2 人 2 (mod m)。Alice 计算 Bob 
发 送 给 她 的 28 的 A 次 雳 来 生成 这 个 密 钥 。Bob 计算 Alice 发 送 给 他 的 2 的 B 
次 震 来 生成 相同 的 密 钥 。 

El Gamal 方案 的 基本 思想 是 使 用 密 钥 协商 协议 的 一 部 分 ， 并 用 它 代 蔡 初 始 
化 过 程 的 部 分 操作 。 特 别 地 ， 在 初始 化 阶段 ，Bob 选择 一 个 数 BobSecret 作为 他 
的 私 钥 ， 计 算 2Bwsew (mod m) 并 公布 这 个 数 ， 我 们 称 之 为 BobPublic。 现 在 如 
果 Alice 想 要 给 Bob 发 送 一 个 加 密 消 息 ， 她 首先 查找 Bob 的 公 钥 ， 发 现 公 钥 是 
BopPuplic。 接 下 来 ， 她 大 体 上 遵循 密 钥 协商 协议 ， 但 是 她 没有 等 待 Bob 发 送 给 
她 BobpPart， 而 是 使 用 BobPublic 作为 BobPart。 也 就 是 说 ，Alice 选择 一 个 随机 
数 A， 然 后 计算 AlicePart 二 2 (mod mm) 。 然 后 她 计算 BopPaz 的 A 次 究 〈 在 模 
算术 下 ) 作为 密 钥 。 她 使 用 一 次 性 密码 本 的 方式 ， 通 过 将 明文 与 该 密 钥 相 加 的 
和 对 mx 取 模 来 加 密 明 文 。 最 后 ， 她 发 送 给 Bob 两 部 分 信息 。 一 部 分 是 Alice- 
Pari， 另 一 部 分 是 密 文 。 

Bob 计算 AlicePart 的 BobSecret 次 寡 来 确定 密 钥 ， 这 本 质 上 与 他 在 指数 密 
钥 协 商 协议 中 的 做 法 相同 。 然 后 他 使 用 这 个 密 钥 解密 密 文 并 获得 明文 。 

以 上 的 描述 可 能 让 人 困惑 ， 因 为 这 里 有 这 么 多 被 称 为 密 钥 的 数 。 这 里 的 
BobSecret 是 Bob 的 私 钥 ，BobPublic 是 Bob 的 公 钥 。 到 目前 为 止 我 们 知道 公 包 
密码 系统 包含 两 个 密 钥 ， 一 个 是 公 钥 ， 一 个 是 私 铀 。Alice 最 终 用 一 个 密 钥 来 加 
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密 明 文 ; Bob 用 同样 的 密 钥 来 解密 密 文 。 然 而 这 第 三 个 密 钥 在 此 密码 系统 中 的 
作用 是 什么 呢 ? 这 是 一 个 “可 丢弃 ”的 密 钥 ， 即 每 个 密 钥 仅 使 用 一 次 来 加 密 一 
个 消息 。 虽 然 它 在 El Gamal 密码 系统 中 的 作用 非常 关键 ， 但 是 它 没 有 出 现在 其 
他 公 钥 密码 系统 中 并 且 不 对 公 钥 密码 系统 的 概念 发 挥 作 用 。 

把 公 钥 密码 系统 看 作 是 一 辆 汽车 。 不 管 该 汽车 是 使 用 汽油 还 是 电力 驱动 ， 
本 质 上 都 上 共有 一 种 驾驶 方式 。 对 汽油 驱动 的 汽车 来 说 ， 化 油 吉 是 一 个 重要 部 
分 ， 但 是 它 却 是 和 汽车 的 概念 训 不 相关 的 。 类 似 地 ， 每 个 公 钥 密码 系统 都 有 一 
个 公 钥 和 一 个 私 铀 ， 从 更 高 的 层次 来 说 ， 它 们 在 公 钥 密码 系统 中 的 使 用 方式 是 
相同 的 ， 只 是 细节 有 所 差异 ， 从 这 个 意义 上 来 说 ， 这 一 “可 丢弃 ”的 密 钥 和 化 
油 硕 是 相似 的 。 

最 著名 的 (和 最 早 的 ) 的 公 钥 密码 系统 是 RSA 密码 系统 ，RSA 不 包含 可 
丢弃 的 密 钥 。 实 际 上 ，RSA 在 概念 上 比 El Gamal 更 简单 ， 但 是 RSA 基于 更 复 
琳 的 数学 理论 。 我 们 不 久 将 会 描述 RSA 密码 系统 。 

有 趣 的 是 ，Diffie 和 Hellman 发 现 了 指数 密 钥 协商 协议 和 公 钥 密码 系统 的 概 
念 ， 却 没有 发 现 与 密 钥 协商 如 此 相似 的 El Gamal 密码 系统 。 其 原因 可 能 在 于 
Diffie 和 Hellman 一 直 在 考虑 根据 陷 门 单 向 函数 的 数学 概念 来 构造 公 钥 密码 ， 并 
一 直 在 寻找 一 个 基于 这 个 概念 的 密码 系统 。El Gamal 系统 并 不 是 基于 这 个 思想 
的 。 鉴 于 此 ， 或许 El Gamal 系统 并 没有 进入 Diffie 和 Hellman 的 视线 。 我 们 很 
快 会 介绍 陷 门 单 回 函数 的 概念 。 


14.3 ”关于 El Gamal 密码 系统 的 更 多 说 明 


现在 转 回来 讨论 EL Gamal 密码 系统 的 细节 ， 并 作 一 些 技术 上 的 说 明 。 每 次 
一 个 新 消息 发 送 的 时 候选 择 一 个 新 的 第 三 密 钥 是 非常 重要 的 (我 们 从 Venona 
故事 中 知道 重复 使 用 一 次 性 密码 本 的 危险 !)。 因 此 ，Alice 每 次 想 加 密 一 个 消息 
时 必须 选择 一 个 新 的 随机 数 A。 如 果 其 他 人 (比如 Bob) 想 要 发 送 消息 给 Alice 
会 怎样 呢 ? 对 于 这 种 情况 ，Alice 拥有 她 的 私 钥 AliceScret 和 她 的 公 钥 AlicePublic。 
Bob 选择 一 个 随机 数 召 〈 只 是 被 用 来 加 密 一 个 消息 )， 使 用 AlicePublic 作为 Alice- 
Part。 这 里 的 重点 是 Alice 加密 消息 时 选择 的 数字 A 和 她 用 来 解密 发 送 给 她 的 消 
息 的 私 钥 AliceSecret 没有 任何 关系 。 

注意 到 因为 每 次 第 三 密 钥 都 是 通过 一 个 随机 过 程 被 重新 选择 的 ， 所 以 对 同 
一 个 明文 的 两 次 加 密 很 可 能 是 不 同 的 。 也 就 是 说 ， 不 像 我 们 之 前 学 习 过 的 所 有 
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其 他 密码 系统 ， 这 里 的 密 文 不 仅仅 依赖 于 明文 和 密 钥 ， 也 依赖 于 一 些 随机 的 元 
素 。 这 可 能 听 起 来 像 是 一 个 缺点 〈“ 密 文 是 不 可 预测 的 >” ， 但 它 通 常 是 一 个 优 
势 : 一 个 甸 听 者 即使 镭 听 了 很 多 密 文 也 不 能 分 辨 出 它们 中 的 哪 一 些 对 应 于 同一 
个 明文 。 它 存在 一 个 缺点 : 密 文 长 度 至 少 是 明文 长 度 的 两 售 一 一 它 包含 两 个 数 ， 
每 个 都 至 少 和 明文 一 样 长 一 一 因为 密 文 不 仅仅 只 依赖 于 明文 。 


14.4 实践 中 的 公 钥 密码 


当 要 加 密 的 文档 包含 比 模 数 更 多 的 位 数 怎 么 办 呢 ? 注意 到 这 类 问题 在 公 铀 
密码 系统 和 传统 密码 系统 中 都 出 现 过 。 标 准 的 解决 方案 是 将 该 密码 系统 用 作 一 
个 分 组 密码 : 把 文档 分 割 成 小 的 分 组 ， 然后 对 每 个 分 组 分 别 进行 加 密 。 

然而 ， 在 实际 应 用 中 使 用 公 钥 密码 系统 (El Gamal 或 者 RSA) 加 密 大 文档 
会 面临 一 个 障碍 。 为 了 系统 的 安全 ， 模 数 必须 非常 大 (长 度 至 少 是 几 百 位 ); 
否则 ， 拥 有 相应 计算 能 力 的 窃听 者 可 能 破解 该 系统 。 然 而 ， 由 于 模 数 很 大 ， 即 
使 是 使 用 重复 平方 等 快速 算法 ， 计 算 乘 寡 也 是 非常 耗费 时 间 的 。 这 在 文档 长 度 
很 小 的 时 候 “〈 几 千 位 ) 不 是 一 个 问题 ， 但 是 如 果 文 档 包 含 几 百 万 位 ， 这 就 是 一 
个 大 问题 了 。 

然而 ， 公 钥 密 码 的 优点 还 是 非常 大 的 ， 以 至 于 不 能 被 完全 放弃 。 那 么 解 
决 方案 是 什么 呢 ? 使 用 公 钥 密码 加 密 一 个 100 位 的 数 有 并 发 送 密 文 。 然 后 用 
作为 某 个 快速 单 钥 密码 的 密 钥 (如 DES) 对 文档 进行 加 密 并 发 送 密 文 。 接 收 
者 首先 使 用 它 的 私 钥 解 密 得 到 密 钥 &， 然 后 使 用 & 作 为 DES 的 密 钥 解密 整个 
大 文档 。 


14.5 签名 


在 使 用 纸 和 笔 的 物理 世界 里 ,我 通常 在 文档 上 签名 来 表示 认可 这 份 文档 。 
在 此 以 后 ， 任 何 看 到 这 份 签 名 文档 的 人 都 确信 我 认可 该 文档 。 例 如 ， 如 有 果 文 档 
是 一 个 合同 ， 我 的 签名 就 是 我 认可 该 合同 的 实体 证 据 。 此 外 ， 伪 造 签名 被 认为 
是 具有 一 定 难度 的 ， 别 人 伪造 一 个 看 起 来 像 是 我 签 的 签名 是 很 困难 的 。 

在 数字 世界 里 ， 拷 贝 一 份 电子 文档 的 一 部 分 到 男 一 份 文档 是 非常 容易 的 ， 
对 一 个 文档 进行 签名 的 概念 也 因此 更 加 微妙 。 在 物理 世界 里 ， 我 们 试图 让 目 己 
所 有 的 签名 看 起 来 都 是 一 样 的 ， 因 为 如 果 我 的 签名 变化 很 大 ， 一 个 被 伪造 的 签 
名 很 可 能 会 被 看 作 是 我 的 签名 。 在 数字 世界 里 ,我 的 签名 不 应 该 简单 地 由 一 个 
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全 固定 的 数据 片段 组 成 ， 否 则 禄 听 者 看 到 一 个 合法 签名 的 文档 

， 就 可 以 将 这 块 数 据 片 段 揽 贝 到 别 的 文档 中 去 ， 从 而 成 功 地 伪造 了 我 的 
交合 

相反 ， 我 的 数字 签名 应 在 数学 上 依赖 于 文档 的 内 容 。 通 过 验证 文档 和 签名 
及 其 之 间 数 学 关系 的 成 立 ， 你 可 以 确定 一 个 文档 上 我 声称 的 签名 的 确 来 源 于 
我 。 因 此 ， 为 了 让 其 他 人 能 够 验证 一 个 签名 的 确 是 我 的 ， 所 要 求 的 数学 关系 应 
该 是 公开 的 。 与 此 同时 ， 为 了 满足 只 有 我 目 己 才能 产生 我 自己 的 签名 ， 这 种 数 
学 关系 应 该 与 某 些 只 有 我 目 己 持 有 的 秘密 信息 紧密 相关 。 

现在 回忆 一 下 公 钥 密码 的 概念 ， 在 公 钥 密码 中 ， 任 何人 都 能 对 发 送 给 我 的 
消息 进行 加 密 ， 但 是 只 有 我 能 够 解密 。 公 钥 密 码 系统 和 数字 签名 都 依赖 于 每 个 
人 均 持 有 一 个 公共 数据 和 一 个 秘密 数据 。 秘 密 数 据 是 只 有 本 人 知道 的 一 个 数 ; 
知道 该 秘密 的 人 可 以 完成 菜 些 任务 ， 例 如 解密 或 产生 签名 。 茶 个 人 的 公共 数据 
是 一 个 与 其 有 公开 联系 的 数 ; 给 定 该 人 的 名 字 ， 任 何人 都 可 以 确定 相对 应 的 公 
共 数 据 ， 并 使 用 该 数据 加 密 发 送 给 他 的 消息 或 者 验证 他 的 签名 。 

公 钥 密码 系统 和 数字 签名 的 密切 相似 性 并 非 巧 合 ; 这 两 种 思想 均 由 Diffie 
和 Hellman 发 现 并 发 表 于 20 世纪 70 年 代 的 一 篇 论文 中 。 实 际 上 ， 他 们 描述 了 
一 个 抽象 的 数学 构造 ， 即 陷 门 单 向 函数 ， 它 可 以 作为 公 钥 密 码 系统 和 数字 签名 
的 基础 。 


14.6 陷 门 单 向 函数 及 其 在 公 钥 加 密 和 数字 签名 中 的 应 用 


我 们 已 经 了 解 了 单 向 函数 的 思想 ， 这 种 函数 正 向 计算 很 容易 〈 给 定 一 个 输 
和 人 入， 计算 对 应 的 输出 ) 而 逆向 “〈 给 定 一 个 输出 ， 计 算 对 应 的 输入 ) 是 计算 困难 

的 。Diffie 和 Hellman 采用 这 一 概念 并 对 其 做 了 微小 却 意义 重大 的 修改 。 如 果 存 
在 一 个 秘密 信息 使 得 某 单 向 函数 的 道 向 计算 变 得 容易 ， 则 称 这 个 单 向 函数 为 陷 
门 单 向 函数 ， 而 这 个 秘密 就 称 作 陷 门 。 

让 我 们 看 一 下 一 个 陷 门 单 向 函数 在 公 钥 密码 中 的 应 用 。 av 
发 送 加 密 消 息 ， 我 构造 并 公开 一 个 陷 门 单 向 函数 ， 但 只 有 我 知道 陷 门 。 这 个 函 
ee 
末 数 的 输入 是 明文 ， 输 出 是 密 文 。 解 密 需 要 使 用 该 郴 数 的 逆 ， 也 就 是 说 ， 从 郴 
数 的 输出 〈 密 文 ) 计算 出 输入 (明文 )。 对 于 不 知道 陷 门 的 人 来 说 这 个 计算 是 
困难 的 。 因 为 我 知道 陷 门 ， 所 以 可 以 容易 地 进行 计算 。 
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接 下 来 ， 让 我 们 看 看 一 个 陷 门 单 向 函数 如 何 被 运用 到 数字 签名 中 去 。 同 样 ， 
我 构造 并 公开 一 个 陷 门 单 向 困 数 ， 且 只 有 我 知道 隐 门 。 为 了 获得 一 个 文件 的 签 
名 ， 我 以 这 个 文件 作为 输出 来 确定 该 函数 的 一 个 输入 ， 这 个 输入 即 为 我 对 该 文 
件 的 签名 。 因 为 我 知道 陷 门 ， 我 可 以 做 这 样 的 计算 。 任 何 看 到 该 签名 的 人 均 可 
以 将 它 作 为 输入 计算 上 述 函 数 ， 并 得 到 一 个 输出 。 如 果 该 签名 是 合法 的 ， 这 个 
渝 出 便 与 文件 准确 匹配 。 除 了 我 以 外 ， 没 有 任何 人 能 针对 一 个 给 定 的 文件 生成 
相应 的 签名 ， 因 为 除 我 以 外 没 人 掌握 该 秘密 ， 即 陷 门 ， 它 使 计算 函数 的 道 变 得 
很 容易 。 

在 本 革 中 ， 我们 描述 了 一 个 函数 ， 据 我 们 所 知 ， 它 是 一 个 隐 门 单 癌 函数 。 
也 就 是 说 ， 人 们 相信 如 果 不 知 道 陷 门 ， 就 没有 好 的 算法 能 够 对 该 函数 进行 逆 问 
计算 ， 但 是 这 个 观点 并 没有 被 证 明 是 正确 的 。 这 个 函数 最 早 由 Rivest、Shamir 
和 Adleman 提出 ， 并 用 在 公 钥 密码 和 数字 签名 中 ， 基 于 这 个 原因 ， 该 公 钥 密码 
系统 又 被 称 为 RSA 密码 系统 ， 且 数字 签名 方案 也 被 称 为 RSA 签名 方案 。 

注意 到 上 述 使 用 陷 门 单 向 函数 的 方法 并 不 是 唯一 构造 公 钥 密码 和 数字 签名 
的 方法 。 实 际 上 ，El Gamal 公 钥 密码 系统 不 是 基于 隐 门 单 问 孙 数 而 构造 的 。 
Gamal 也 提出 了 一 个 不 基于 隐 门 单 品 消 数 的 数字 签名 方案 。 


14. 7 RSA 陷 门 单 问 函数 


下 面 介 绍 一 种 构造 陷 门 单 向 函数 的 方法 。 秘 密 选 择 两 个 大 素数 〈( 几 百 位 ) 
pP 和 gq， 并 且 p 一 1 和 gq 一 1 不 能 被 3 整除 。 然 后 令 p 和 9g 相 乘 ， 得 到 一 个 数 mm。 
现在 公开 参数 mw， 这 就 是 你 的 公 钥 。 这 个 单 向 函数 是 模 mm 三 次 方 : zz (mod 
m) 。 对 于 任何 知道 你 的 公 钥 的 人 来 说 ,根据 输入 计算 输出 是 容易 的 。 然 而 ， 任 
何不 知道 m 的 素数 因子 p 和 9 的 人 进行 逆向 计算 被 认为 是 困难 的 。 

你 知道 这 些 数 字 ， 因 为 它们 是 由 你 选择 的 ， 因 此 你 可 以 进行 逆向 计算 。 计 
算 p 一 1 乘 以 g 一 1 得 到 B(m)， 然 后 计算 3 关于 模 @B(1m) 的 乘法 逆 元 *。 最 终 ， 
为 了 计算 一 个 数 的 三 次 方 根 模 mm， 需要 计算 这 个 数 的 ;次 具 并 对 m 取 模 。 

实际 上 ，RSA 并 不 告诉 你 使 用 数字 3; 你 可 以 使 用 男 外 的 数字 。 例 如 ， 

只 要 p 一 1 和 9g 一 1 不 能 被 5 整除 ， 就 可 以 使 用 数字 5。 使 用 小 的 指数 有 一 些 
缺点 ， 但 是 可 以 通过 使 用 随机 加 密 来 避免 〈 在 关于 安全 的 单 钥 加 密 的 章节 中 
讨论 过 >) 。 


148 锚 7Z 蚤 


14.8 RSA 公 钥 密码 系统 


我 们 可 以 在 密码 系统 中 使 用 这 个 函数 。 如 果 你 的 朋友 Alice 想 要 给 你 发 送 一 
个 只 有 你 可 以 谈 的 消息 ， 她 把 消息 取 三 次 方 进 行 加 密 并 把 其 模 m 代表 元 发 送 给 
你 。 你 可 以 通过 计算 这 个 数 的 ;次 竹 并 对 m 取 模 来 进行 解密 。 


14.9 RSA 数字 签名 方案 


我 们 也 可 以 在 数字 签名 方案 中 使 用 这 个 函数 。 比 如 说 数 2 代表 着 你 要 签名 
的 文档 。 你 可 以 通过 计算 2 的 次 震 并 对 和 闷 取 模 来 计算 2 关于 模 闷 的 三 次 方 根 。 
这 个 结果 就 是 你 的 签名 。 你 可 以 把 该 文档 和 对 应 的 签名 发 送 给 任何 拥有 你 公 角 
m 的 人 ， 她 可 以 验证 该 签名 是 否 和 文档 匹配 。 也 就 是 说 ， 她 计算 该 签名 关于 模 
m 的 三 次 方 并 验证 是 否 和 文档 相 匹 配 。 

至 于 安全 性 ， 我 们 相信 “〈 和 硕 望 ) 徊 听 者 Eve 不 能 伪造 签名 ， 也 就 是 说 ， 她 
不 能 对 她 选择 的 文档 求 出 关于 模 m 的 三 次 方 根 。 即 使 Eve 看 到 一 个 文档 和 你 生成 
的 签名 ， 我 们 相信 ， 对 这 个 文档 做 轻微 修改 后 ， 她 也 不 能 计算 出 一 个 签名 。 


14. 10 ”消息 摘要 函数 


有 很 多 很 多 关于 数字 签名 的 应 用 。 数 字 签 名 在 实际 应 用 中 可 能 比 加 密 更 为 
重要 。 例 如 ,一 个 软件 公司 可 能 需要 通过 因特网 给 用 户 发 送 一 个 新 的 Web 浏览 
需 软 件 。 有 一 些 黑客 可 能 在 软件 传送 给 用 户 的 途中 对 软件 进行 修改 ， 引 入 一 些 
安全 漏洞 。 为 了 能 够 让 用 户 验证 收 到 的 软件 拷贝 是 合法 的 、 未 被 修改 的 ， 软 件 
公司 将 软件 看 作 一 个 文档 ， 然 后 计算 并 公开 针对 该 软件 的 数字 签名 。 当 一 个 用 
户 收 到 他 的 拷贝 时 ， 他 可 以 将 该 数字 签名 取 三 次 方 〈 对 软件 公司 的 公 钥 取 模 )， 
然后 检测 该 签名 是 否 和 软件 相 匹 配 。 

然而 ， 正 如 公 角 密码 一 样 ， 数 字 签 名 存在 一 个 实用 中 的 困难 。 对 于 比较 大 
的 文档 (比如 说 软件 )， 模 数 也 必定 会 很 大 ， 因 此 计算 相应 的 数字 签名 将 会 花 
费 很 长 的 时 间 。 

另 一 方面 ，RSA 签名 方案 还 存在 一 个 安全 性 困难 。Eve 在 不 知道 相应 的 公 
开 模 数 的 私 钥 的 前 提 下 ， 可 以 构造 出 被 认为 是 合法 的 [文档 ， 签 名 」 对 。 要 注 
意 ， 通 过 这 种 方式 产生 的 文档 是 没有 意义 的 。 尽 管 如 此 ， 这 在 很 多 应 用 中 都 是 
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一 个 安全 源 洞 。 

解决 方案 涉及 使 用 密码 学 哈 希 函数 或 者 消息 摘要 函数 。 这 个 函数 将 一 个 很 
长 的 文档 作为 函数 输入 然后 输出 一 个 很 小 的 数 (40 或 50 位 )。 输 入 中 任何 小 的 
改变 都 能 造成 输出 的 巨大 变化 。 此 外 ， 给 定 函 数 的 一 个 输出 ， 找 到 能 够 生成 该 
和 壮 出 的 任何 输入 都 是 非常 困难 的 。 这 么 看 来 ， 密 码 学 喻 希 清 数 与 单 向 函数 非常 相 
似 。 不 同 的 是 密码 学 喻 希 函 数 不 是 双 射 (一 对 一 ) 函数 ， 所 以 没有 逆 末 数 。 然 
而 ， 基 本 的 思想 是 一 样 的 一 一 “前 向 计算 容易 ， 逆 向 计算 困难 ”。 更 重要 的 是 ， 
一 个 密码 学 哈 希 滑 数 还 需要 满足 额外 的 安全 性 要 求 ， 至 少 具备 下 述 性 质 之 一 : 


弱 无 碰撞 : 给 定 一 个 文档 4， 计 算 一 个 不 同 的 文档 d 使 得 @& 和 Q@ 在 哈 希 函 
数 下 的 像 相同 是 计算 困难 的 。 


强 无 磁 撞 : 计算 两 个 不 同 的 文档 di ，cz ， 使 得 它们 在 哈 希 函数 下 的 像 相 同 
是 计算 困难 的 。 


第 二 个 条 件 隐 含 着 第 一 个 条 件 ， 因 此 略 强 。 对 于 某 些 应 用 ， 这 个 更 强 的 条 
件 是 必需 的 。 对 于 数字 签名 应 用 ， 较 弱 的 条 件 就 足够 了 。 

为 了 针对 长 文档 构造 数字 签名 ， 将 该 文档 作为 一 个 公开 已 知 的 密码 学 哈 硕 
函数 的 输入 ， 输 出 是 一 个 相对 小 的 数 。 然 后 使 用 RSA 数字 签名 方案 去 计算 这 个 
小 的 数 的 数字 签名 。 由 于 模 数 只 需 是 几 百 位 长 ， 因 此 计算 速度 会 很 快 。 然 后 发 
送 文档 和 数字 签名 。 接 收 者 可 以 按照 如 下 方式 验证 文档 和 数字 签名 的 有 效 性 。 
首先 将 文档 作为 密码 学 哈 希 函数 的 输入 ， 以 计算 输出 “〈 正 如 你 做 的 那样 ) 。 然 
后 将 数字 签名 取 三 次 方 (对 你 的 公开 密 钥 取 模 )， 然 后 验证 是 否 和 这 个 密码 学 
哈 硕 图 数 的 输出 相 匹 配 。 

如 果 密 码 学 喻 希 函 数 是 弱 无 碰撞 的 ， 黑客 就 不 可 能 在 途中 修改 文档 上 且 不 被 
检测 到 ; 对 于 修改 过 的 文档 ,该 签名 将 是 非法 的 。 

存在 可 以 非常 高 效 地 生成 输出 的 密码 学 哈 希 函数 ， 即 使 输入 是 一 个 很 大 的 
文档 。 这 些 消 数 被 认为 (期望) 是 安全 的 《“ 道 向 计算 是 困难 的 ”)。 然 而 ， 其 
中 的 某 些 方案 (如 MD4 和 MD5) 已 经 被 证 实 是 不 安全 的 。 使 用 者 后 果 自 负 ! 


14. 11 消息 摘要 函数 在 承诺 中 的 应 用 


回忆 第 11 章 ， 我们 提出 使 用 单 向 函数 实现 承诺 。 我 们 展示 了 使 用 一 个 随机 
数 来 保证 承诺 直到 恰当 的 时 间 才 能 被 打开 。 人 然而， 我们 看 到 使 用 单 向 孔 数 并 不 
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能 保证 承诺 是 绑 定 的 。 

消息 摘要 函数 提供 了 一 个 解决 该 问题 的 方法 。 如 果 一 个 单 向 函数 是 强 无 碰 
撞 的 《〈 因 而 是 一 个 消息 摘要 困 数 )， 那 么 承诺 是 绑 定 的 。 令 f 是 一 个 强 无 碰撞 
的 消息 摘要 函数 。 假 设 我 想 对 某 个 值 〈 记 为 d1) 通过 发 送 给 你 f(d1) 进行 承 
话 ， 稍 后 可 能 改变 我 的 想法 并 声称 心 是 我 的 原始 承诺 值 。 为 了 让 你 相信 我 ，wl 
和 ds 必须 在 函数 上 下 拥有 相同 的 像 ， 即 Fai ) = Fa )。 因 为 了 是 强 无 碰撞 的 ， 
因而 无 法 找到 这 样 的 一 对 值 d1 和 dz 。 因 此 阻止 了 我 作 青 。 


14. 12 思考 题 


1. Bilbo 提出 了 以 下 消息 摘要 到 数 ， 它 被 用 作对 任意 长 度 的 文档 进行 签名 。 该 
图 数 是 f(z) 二 27 rem m， 其 中 mm 是 长 度 为 100 位 的 素数 。Bilbo 建议 将 文档 
表示 为 一 个 大 的 数 ( 可 能 有 上 干 位 )， 然 后 计算 该 数 在 函数 f 下 的 人像。 得 到 
的 消息 摘要 是 一 个 模 mx 的 代表 元 。 

现在 ,我 们 知道 Bilbo 的 函数 并 不 是 一 个 理想 的 消息 摘要 函数 ， 因 为 对 于 一 
个 长 文档 ， 需 要 几 分 钟 甚至 几 个 小 时 来 寻找 相对 应 的 像 。 如 果 它 是 一 个 安全 的 消 
息 摘 要 顶 数 的 话 ， 我 们 或 许愿 意 等 竺 这么 长 时 间 。 不 幸 的 是 ， 它 非常 不 安全 。 
(a) 描述 消息 摘要 函数 的 安全 目标 ， 并 解释 如 果 在 数字 签名 方案 中 使 用 不 安 
全 的 消息 摘要 函数 ， 可 能 会 发 生 什 么 不 好 的 事情 ， 为 什么 会 这 样 。 
(b) 说 明 Bilbo 的 函数 没有 实现 安全 目标 ， 并 说 明 如 果 它 被 用 在 一 个 签名 方 
案 中 ，Eve 可 能 利用 这 个 缺陷 来 修改 一 个 签名 的 文档 ， 且 不 被 发 现 。 提 
示 : 回顾 欧 拉 定理 。 


2. 你 看 到 Boris Badinov 正在 加 密 一 个 消息 ， 并 设法 读 到 了 开始 的 几 个 明文 分 


组 :“Dear Natasha: Tve recruited a new spy in the CIA. His name 1S” 

你 冲 向 你 的 窃听 装置 ， 并 设法 窃听 所 有 的 密 文 分 组 。 现 在 你 转向 你 的 超 
级 计算 机 集群 ……: 

在 以 下 的 每 一 个 场景 中 ， 简 要 描述 你 如 何 从 密 文 确定 其 余 的 明文 。 特 别 
地 ， 对 于 每 个 场景 ， 从 下 列 (人 D 、(iD 或 《ii) 中 选取 : (1) 可 能 成 功 ; (i 
不 可 能 在 一 年 之 内 成 功 ; (iii) 无 论 你 活 多 和 久 ， 都 不 可 能 成 功 。 
(a) 每 个 分 组 通过 明文 和 密 钥 k 相 加 ， 然 后 模 1000000000000 进行 加 密 。 所 

有 分 组 使 用 同一 个 密 钥 。 

。 攻击 ? 
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。 成 功 的 可 能 性 ? 

(b) 同上 ， 每 个 分 组 都 使 用 模 1000000000000 加 法 进行 加 密 ， 但 是 现在 每 个 

分 组 选择 不 同 的 密 钥 。 

。 攻击 ? 

。 成 功 的 可 能 性 ? 

每 个 分 组 使 用 指数 密码 加 密 ， 模 为 素数 251003。 所 有 分 组 使 用 相同 的 密 钥 。 

。 攻击 ? 

。 成 功 的 可 能 性 ? 

(d) 每 个 分 组 使 用 Natasha 的 RSA 公开 模 数 6355170039495021706507715- 
3434685637685852255386187135494209917 … 6495012237225563812- 
839425115194276145439 和 一 个 公开 指数 3 进行 加 密 。 

。 攻击 ? 
。 成 功 的 可 能 性 ? 

. 使 用 RSA 加 密 最 直观 的 方法 是 直接 使 用 RSA 加 密 明 文 ， 也 就 是 说 ， 计 算 明 

文 的 接收 者 的 公开 指数 次 寡 (通常 是 3)， 并 对 接收 者 的 公开 模 数 取 模 。 下 

如 14.4 节 中 提 到 过 的 ,一 个 更 好 的 方法 是 选择 一 个 大 的 随机 密 钥 K， 直 接 

使 用 RSA 加 密 K 并 发 送 K 的 密 文 ,然后 使 用 单 钥 密码 系统 (如 DES 和 

RC4) 加 密 真 正 的 明文 ， 并 发 送 生成 的 密 文 。 
考虑 如 下 的 方案 : 每 当 一 个 新 用 户 需 要 一 个 账户 ， 她 选择 她 的 口令 ， 然 

后 使 用 系统 管理 员 的 公 钥 对 口令 进行 加 密 ， 并 通过 电子 邮件 将 密 文 发 送 给 系 

统管 理 员 。 


(c 


ww 


新 用 户 
挑选 口令 
使 用 系统 管理 员 的 
公 钥 加 密 口 令 


接受 密 文 
使 用 私 钥 解密 
使 用 给 定 口令 创建 
新 的 账户 





(a) 说 明 如 果 使 用 直观 的 RSA 加 密 ，Eve 可 能 受益 于 字典 攻击 。 
(b) 为 什么 更 好 的 RSA 加 密 方法 能 使 字典 攻击 无 效 ? 
.就 像 我 们 之 前 使 用 的 基于 普通 对 称 密码 的 挑战 - 啊 应 协议 〈 在 敌我 系统 中 ， 
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识别 朋友 和 敌人 )， 可 以 使 用 基于 公 钥 密码 〈 特 别 是 RSA) 的 挑战 - 啊 应 协 
议 。 目 标 是 使 一 方 有 可 能 知道 她 正在 和 谁 通信 。 假 设 Carole 正在 和 声称 自己 
是 Dave 的 人 进行 通信 。Carole 知道 Dave 的 公 钥 (她 之 前 已 经 得 到 了 Dave 的 
证 书 )。Carole 发 送 一 个 随机 的 挑战 尺 给 另 一 方 ， 另 一 方 返回 Dave 对 尺 的 签 
名 作为 回应 。Carole 可 以 使 用 Dave 的 公 和 钥 检 查 R 的 签名 是 否 有 效 ; 因为 只 
有 Dave 拥有 私 钥 ， 该 私 钥 允 许 某 人 像 Dave 一 样 进行 签名 ，Carole 确信 她 正 
在 和 Dave 进行 通话 。 

Carole 根据 模 mx 代表 元 的 均匀 分 布 来 选择 RR， 其 中 mx 是 Dave 的 公开 模 数 。 
假设 mx 是 一 个 大 的 数 (非常 大 以 至 于 无 法 分 解 )， 因 此 R 的 选择 可 能 性 非常 多 ， 
以 至 于 Dave 之 前 已 经 计算 过 特殊 选取 的 R 的 数字 签名 的 可 能 性 非常 小 。 任 何人 
在 不 知道 私 钥 的 情况 下 能 计算 R 的 签名 也 是 非常 不 可 能 的 。 

考虑 以 下 能 够 让 双方 互相 识别 对 方 的 协议 。A 声称 目 己 是 Alice，B 声称 
自己 是 Bob。 

(a) A 选择 一 个 随机 挑战 RA 并 发 送 给 B。 
(b) B 发 送 Bob 对 Ra 的 签名 以 及 他 上 自己 的 随机 挑战 Ra 作为 啊 应 。 
(c) A 发 送 Alice 对 Ra 的 签名 作为 啊 应 。 

假设 公开 模 数 很 大 ， 因 此 Eve 很 难 对 其 进行 分 解 。 

找到 一 种 方法 使 Eve 能 够 让 Bob 和 Alice 相信 他 们 均 在 与 对 方 通信 ， 实 
际 上 他 们 都 在 与 Eve 通信。 


A 方 
随机 选择 数字 RR 


计算 Bob 对 R, 的 


随机 选择 数字 Rs 


计算 Alice 对 R， 


的 签名 


Alice 对 R; 签 名 
-一 一 一 一 一 


验证 Bob 签 名 的 
正确 性 
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5. 我 们 描述 一 个 于 1989 年 提出 的 协议 ， 它 能 使 人 们 在 无 线 电网 络 中 秘密 通信 。 


该 协议 使 用 一 个 可 信 中 心 来 充当 中 间 人 。 在 这 个 协议 中 ， 我们 忽略 认证 和 身 ”|168 

份 识别 : 证 明 你 是 谁 不 是 必要 的 。 
这 个 协议 只 要 求 可 信 中 心 拥 有 一 个 RSA 公 钥 / 私 钥 对 。 所 有 的 其 他 参与 

方 都 知道 可 信 中 心 的 公 钥 ， 但 是 他 们 都 不 知道 相应 的 私 钥 。 
协议 运行 如 下 。 假 设 A 想 要 和 B 进行 秘密 通信 。 

(a) A 选择 一 个 大 的 随机 密 钥 RR， 使 用 可 信 中 心 的 公 钥 对 R 进行 加 密 ， 然 后 
将 密 文 发 送 给 可 信 中 心 。 

(b) 可 信 中 心 将 通信 的 请 求 通知 已 。 

(c) 也 选择 一 个 大 的 随机 会 话 密 钥 玉 ， 使 用 可 信 中 心 的 公 钥 对 K 进行 加 密 ， 

尖 后 将 密 文 发 送 给 可 信和 中心。 

eh 获得 密 钥 R， 解 密 B 的 密 文 ， 获 得 密 钥 K。 使 
用 一 次 性 密码 本 用 密 钥 R 加 密 K (使 用 模 算 术 将 K 和 尺 相 加 )， 然 后 将 
密 文 发 送 给 A。 

(e) A 解 密 密 文 ， 获 得 氏 。 现 在 A 和 也 拥有 共同 的 密 钥 玉 ， 因 此 他 们 可 以 使 
用 普通 的 ( 单 钥 ) 密码 系统 加 密 发 送 给 对 方 的 所 有 消息 。 


可 信 中 心 B 方 
“A 想 和 你 通话 ” 
一 一 一 


A 方 
“和 B 交 谈 ” 
一 -一 一 一 


随机 选择 一 个 数字 R 
使 用 可 信 中 心 的 公 饥 
加 密 R 
R 的 加 密 密 文 随机 地 选择 一 个 数字 天 
oo 使 用 可 信 中 心 的 公 针 
加 密 天 
天 的 加 密 密 文 
解密 得 到 R 和 开 
对 K 和 R 使 用 模 加 运算 ， 
密 文 得 到 密 文 
《一 一 一 一 一 一 
从 密 文 中 减 掉 R 
得 到 KK 
使 用 密 钥 K 进 行 安 全 的 通信 
单 钥 密码 系统 





假设 可 信 中 心 的 行为 是 诚实 的 。 这 个 协议 看 起 来 很 安全 ， 但 是 有 一 个 相当 明 
显 的 缺陷 。 两 方 C 和 D 可 以 合作 并 窃听 所 有 的 通信 ， 以 此 来 解密 A 和 也 之 
间 的 通信 。 


你 的 任务 是 找到 实现 的 方法 。 
提示 : 当 穷 听 到 A、B 与 可 信 中 心 之 间 的 通信 之 后 ，C 请求 与 D 通信。 


. 考虑 一 个 因特网 轮 盘 游戏 。 一 个 玩家 下 注 ， 选择 1 到 36 之 间 的 一 个 数 ， 然 


后 将 选择 的 数 发 送 给 网 上 赌场 。 赌 场 选择 一 个 数 〈 可 能 是 随机 的 1)， 然 后 后 
诉 玩 家 是 否 启 了。 很 显然 ， 如 果 玩 家 将 他 选择 的 数 以 明文 形式 发 送 过 去 ， 则 
会 存在 一 个 安全 问题 : 赌场 可 以 直接 不 选择 这 个 数 ! 
这 里 有 一 个 显然 更 好 的 实现 轮 盘 游戏 的 方式 。 有 一 个 全 系统 的 单 回 果 数 
太 玩家 将 他 的 猜测 作为 大 的 输入 ， 计 算 相 应 的 输出 并 发 送 给 赌场 ， 而 不 是 
直接 发 送 他 猜测 的 数 。 一 旦 赌场 将 获奖 数 发 送 给 玩家 ， 玩 家 便 告 诉 财 场 他 的 
猜测 。 赌 场 可 以 验证 玩家 没有 说 谎 ， 因 为 他 可 以 得 到 玩家 声称 的 猜测 在 f 下 
的 像 ， 然 后 验证 和 玩家 之 前 发 送 的 数 是 否 一 致 。 
(a) 描述 这 个 系统 的 最 大 安全 缺陷。 
(b) 假设 f 是 一 个 定义 域 在 1 到 10” 之 间 的 可 道 函 数 。 提 出 一 种 修复 方法 使 
得 该 系统 安全 。 


玩家 
猜测 一 个 1~36 之 间 的 数 


找到 在 单 向 函数 下 的 像 


猜测 数 的 像 


选择 获胜 的 数 
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